Übersicht über den Workflow für die Administratoreinwilligung
Es kann Situationen geben, in denen Ihre Endbenutzer den Berechtigungen für Anwendungen zustimmen müssen, die sie mit ihren Geschäftskonten erstellen oder verwenden. Benutzer, die keine Administratoren sind, können jedoch nicht ihre Zustimmung für Berechtigungen erteilen, die eine Administratoreinwilligung erfordern. Außerdem können Benutzer Anwendungen nicht zustimmen, wenn die Benutzereinwilligung im Mandanten des Benutzers deaktiviert ist.
In solchen Situationen, in denen die Benutzereinwilligung deaktiviert ist, kann ein Administrator Benutzern die Berechtigung erteilen, Anforderungen für den Zugriff auf Anwendungen zu stellen, indem er den Workflow für die Administratoreinwilligung aktiviert. In diesem Artikel werden die Optionen der Benutzeroberfläche für Benutzer und Administratoren bei deaktiviertem und bei aktiviertem Workflow für die Administratoreinwilligung erörtert.
Bei dem Versuch, sich anzumelden, wird Benutzern möglicherweise eine Zustimmungsaufforderung wie im folgenden Screenshot angezeigt:
Wenn der Benutzer nicht weiß, an wen er sich wenden muss, um Zugriff zu erhalten, kann er die Anwendung möglicherweise nicht verwenden. In dieser Situation müssen Administratoren einen separaten Workflow zum Nachverfolgen von Anforderungen für Anwendungen erstellen, wenn sie bereit sind, diese zu empfangen. Als Administrator stehen Ihnen die folgenden Optionen zur Verfügung, um zu bestimmen, wie Benutzer Anwendungen zustimmen können:
- Deaktivieren Sie die Benutzereinwilligung. Beispielsweise kann eine Schule die Benutzereinwilligung deaktivieren, damit die IT-Verwaltung der Schule die vollständige Kontrolle über alle Anwendungen hat, die in ihrem Mandanten verwendet werden.
- Zulassen, dass Benutzer den erforderlichen Berechtigungen zustimmen. Es wird NICHT empfohlen, die Benutzereinwilligung uneingeschränkt zuzulassen, wenn in Ihrem Mandanten vertrauliche Daten gespeichert werden.
- Wenn Sie für bestimmte Berechtigungen weiterhin nur die Administratoreinwilligung beibehalten möchten, aber Ihre Endbenutzer beim Onboarding ihrer Anwendung unterstützen möchten, können Sie den Workflow für die Administratoreinwilligung verwenden, um Anforderungen zur Administratoreinwilligung zu bewerten und zu bearbeiten. Auf diese Weise können Sie eine Warteschlange mit allen Anforderungen zur Administratoreinwilligung für Ihren Mandanten nutzen und diese Anforderungen direkt im Microsoft Entra Admin Center nachverfolgen und bearbeiten. Informationen zum Konfigurieren des Workflows für die Administratoreinwilligung finden Sie hier.
Funktionsweise des Workflows für die Administratoreinwilligung
Wenn Sie den Workflow für die Administratoreinwilligung konfigurieren, können Ihre Endbenutzer die Zustimmung direkt über die Eingabeaufforderung anfordern. Den Benutzern wird möglicherweise eine Zustimmungsaufforderung wie im folgenden Screenshot angezeigt:
Wenn ein Administrator eine Anforderung bearbeitet, erhält der Benutzer eine E-Mail-Benachrichtigung, in der er darüber informiert wird, dass die Anforderung verarbeitet wird.
Wenn Benutzer*innen eine Einwilligungsanforderung übermitteln, wird die Anforderung im Microsoft Entra Admin Center auf der Seite mit Anforderungen zur Administratoreinwilligung angezeigt. Administratoren und designierte Prüfer melden sich an, um die neuen Anforderungen anzuzeigen und zu bearbeiten. Prüfern werden nur Einwilligungsanforderungen angezeigt, die erstellt wurden, nachdem sie als Prüfer bestimmt wurden. Die Anträge werden auf den folgenden beiden Registerkarten in der Klinge für Einwilligungsanträge angezeigt:
- Meine ausstehenden Anforderungen: Hier werden alle aktiven Anforderungen angezeigt, für die der angemeldete Benutzer als Prüfer bestimmt wurde. Prüfer können zwar Anforderungen blockieren oder ablehnen, aber nur Personen mit den richtigen RBAC-Berechtigungen zum Erteilen der Zustimmung für die angeforderten Berechtigungen können dies tun.
- Alle (Vorschau): Alle (aktiven oder abgelaufenen) Anforderungen, die im Mandanten vorhanden sind. Jede Anforderung enthält Informationen über die Anwendung und die Benutzer, die die Anwendung anfordern.
E-Mail-Benachrichtigungen
Sofern konfiguriert, erhalten alle Prüfer in den folgenden Fällen E-Mail-Benachrichtigungen:
- Eine neue Anforderung wurde generiert
- Eine Anforderung ist abgelaufen
- Eine Anforderung läuft in Kürze ab.
Anforderer erhalten in folgenden Fällen eine E-Mail-Benachrichtigung:
- Beim Senden einer neuen Zugriffsanforderung
- Bei Ablauf ihrer Anforderung
- Bei Ablehnung oder Blockierung ihrer Anforderung
- Bei Genehmigung ihrer Anforderung
Überwachungsprotokolle
Die folgende Tabelle zeigt die Szenarien und Überwachungswerte, die für den Workflow für die Administratoreinwilligung zur Verfügung stehen.
| Szenario | Überwachungsdienst | Überwachungskategorie | Überwachungsaktivität | Überwachungsakteur | Überwachungsprotokolleinschränkungen |
|---|---|---|---|---|---|
| Administrator aktiviert den Workflow für die Administratoreinwilligung | Zugriffsüberprüfungen | UserManagement | Governancerichtlinienvorlage erstellen | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts nicht möglich. |
| Der Administrator deaktiviert den Workflow zum Anfordern der Administratoreinwilligung | Zugriffsüberprüfungen | UserManagement | Governancerichtlinienvorlage löschen | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts nicht möglich. |
| Administrator aktualisiert die Konfiguration des Workflows für die Administratoreinwilligung | Zugriffsüberprüfungen | UserManagement | Governancerichtlinienvorlage aktualisieren | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts nicht möglich. |
| Der Endbenutzer erstellt eine Anforderung zur Administratoreinwilligung für eine App | Zugriffsüberprüfungen | Richtlinie | Anforderung erstellen | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts nicht möglich. |
| Die Prüfer genehmigen eine Anforderung zur Administratoreinwilligung | Zugriffsüberprüfungen | UserManagement | Alle Anforderungen im Geschäftsflow genehmigen | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts oder der App-ID, für die eine Administratoreinwilligung erteilt wurde, nicht möglich. |
| Die Prüfer lehnen eine Anforderung zur Administratoreinwilligung ab | Zugriffsüberprüfungen | UserManagement | Alle Anforderungen im Geschäftsflow genehmigen | App-Kontext | Aktuell ist eine Ermittlung des Benutzerkontexts des Akteurs, der eine Anforderung zur Administratoreinwilligung abgelehnt hat, nicht möglich |