Vue d’ensemble du workflow du consentement administrateur
Dans certaines situations, il se peut que les utilisateurs finaux aient le consentement des autorisations pour les applications qu’ils créent ou utilisent avec leurs comptes professionnels. Toutefois, les utilisateurs non-administrateurs ne sont pas autorisés à donner leur consentement aux autorisations qui nécessitent le consentement de l’administrateur. En outre, les utilisateurs ne peuvent pas donner leur consentement aux applications lorsque le consentement de l'utilisateur est désactivé dans le locataire de l’utilisateur.
Dans ce cas, si le consentement de l’utilisateur est désactivé, un administrateur peut accorder aux utilisateurs la possibilité d’effectuer des demandes pour accéder aux applications en activant le flux de travail du consentement de l’administrateur. Dans cet article, vous découvrirez l’expérience de l’utilisateur et de l’administrateur lorsque le flux de travail de consentement de l’administrateur est désactivé et qu’il est activé.
Lorsque vous tentez de vous connecter, les utilisateurs peuvent voir une invite de consentement similaire à celle de la capture d’écran suivante :
Si l’utilisateur ne sait pas qui doit contacter pour lui accorder l’accès, il est possible qu’il ne puisse pas utiliser l’application. Dans ce cas, les administrateurs doivent créer un flux de travail distinct pour suivre les demandes d’applications s’ils sont ouverts pour les recevoir. En tant qu’administrateur, les options suivantes existent pour vous permettre de déterminer la façon dont les utilisateurs acceptent les applications :
- Désactivez le consentement de l’utilisateur. Par exemple, une école importante peut vouloir désactiver le consentement de l’utilisateur afin que l’administration informatique de l’école ait un contrôle total sur toutes les applications utilisées dans son locataire.
- Autorisez les utilisateurs à donner leur consentement aux autorisations requises. Il n’est pas recommandé de laisser le consentement de l’utilisateur ouvert si vous avez des données sensibles dans votre locataire.
- Si vous souhaitez toujours conserver le consentement de l’administrateur pour certaines autorisations, mais que vous souhaitez aider les utilisateurs finaux à intégrer leur application, vous pouvez utiliser le flux de travail de consentement de l’administrateur pour évaluer les demandes de consentement administrateur et y répondre. De cette façon, vous pouvez avoir une file d’attente de toutes les demandes de consentement administrateur pour votre locataire et pouvez effectuer un suivi et y répondre directement par le biais du centre d’administration Microsoft Entra. Pour découvrir comment configurer le workflow du consentement administrateur, consultez Configurer le workflow du consentement administrateur.
Comment fonctionne le workflow du consentement administrateur
Quand vous configurez le flux de travail de consentement de l’administrateur, vos utilisateurs finaux peuvent demander un consentement directement via l’invite. Les utilisateurs peuvent voir une invite de consentement similaire à celle de la capture d’écran suivante :
Lorsqu’un administrateur répond à une demande, l’utilisateur reçoit une alerte par courrier électronique les informant que la demande a été traitée.
Quand l’utilisateur envoie une demande de consentement, celle-ci s’affiche dans la page de demande de consentement administrateur du centre d’administration Microsoft Entra. Les administrateurs et les réviseurs désignés se connectent pour afficher et agir sur les nouvelles demandes. Les réviseurs ne peuvent voir que les demandes de consentement qui ont été créées après qu’ils ont été désignés réviseurs. Les demandes apparaissent sous les deux onglets suivants dans le panneau demandes de consentement administrateur :
- Mon en attente : affiche toutes les demandes actives pour lesquelles l’utilisateur connecté est désigné comme réviseur. Bien que les réviseurs puissent bloquer ou refuser les demandes, seules les personnes disposant des autorisations RBAC appropriées pour donner leur consentement aux autorisations demandées peuvent le faire.
- Tout (préversion) : toutes les demandes, actives ou expirées, qui existent dans le locataire. Chaque demande comprend des informations sur l’application et le ou les utilisateurs qui demandent l’application.
Notifications par e-mail
S’il est configuré, tous les réviseurs reçoivent des notifications par courrier électronique dans les cas suivants :
- Une demande a été créée
- La demande a expiré
- Une demande est proche de sa date d’expiration.
Les demandeurs recevront des notifications par courrier électronique dans les cas suivants :
- Ils envoient une nouvelle demande d’accès
- Leur demande a expiré
- Leur demande a été refusée ou bloquée
- Leur demande a été approuvée
Journaux d’audit
Le tableau ci-dessous décrit les scénarios et les valeurs d’audit disponibles pour le flux de travail de consentement de l’administrateur.
| Scénario | Audit Service | Catégorie d’audit | Activité d’audit | Intervenant d’audit | Limites du journal d’audit |
|---|---|---|---|---|---|
| Activation par l’administrateur du workflow de demande de consentement | Révisions d’accès | UserManagement | Créer un modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, le contexte utilisateur est introuvable |
| Administrateur désactivant le workflow de demande de consentement | Révisions d’accès | UserManagement | Supprimer un modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, le contexte utilisateur est introuvable |
| Administrateur mettant à jour les configurations du workflow de consentement | Révisions d’accès | UserManagement | Mettre à jour un modèle de stratégie de gouvernance | Contexte de l’application | Actuellement, le contexte utilisateur est introuvable |
| Utilisateur final créant une demande de consentement administrateur pour une application | Révisions d’accès | Stratégie | Créer une demande | Contexte de l’application | Actuellement, le contexte utilisateur est introuvable |
| Réviseurs approuvant une demande de consentement administrateur | Révisions d’accès | UserManagement | Approuver toutes les requêtes dans le workflow d’entreprise | Contexte de l’application | Pour l’heure, vous ne pouvez pas trouver le contexte de l’utilisateur ou l’ID de l’application qui a reçu le consentement de l’administrateur. |
| Réviseurs refusant une demande de consentement administrateur | Révisions d’accès | UserManagement | Approuver toutes les requêtes dans le workflow d’entreprise | Contexte de l’application | Pour l’heure, vous ne pouvez pas trouver le contexte utilisateur de l’acteur qui a refusé une demande de consentement administrateur |