Panoramica del flusso di lavoro di consenso amministratore
Possono verificarsi situazioni in cui gli utenti finali devono fornire il consenso alle autorizzazioni per le applicazioni che stanno creando o che stanno utilizzando con gli account aziendali. Tuttavia, gli utenti non amministratori non sono autorizzati a fornire il consenso alle autorizzazioni che richiedono il consenso dell'amministratore. Inoltre, gli utenti non possono fornire il consenso alle applicazioni quando il consenso utente è disabilitato nel tenant dell'utente.
In tali situazioni in cui il consenso dell'utente è disabilitato, un amministratore può concedere agli utenti la possibilità di effettuare richieste di accesso alle applicazioni abilitando il flusso di lavoro di consenso amministratore. In questo articolo, verranno fornite informazioni sull'esperienza utente e amministratore quando il flusso di lavoro di consenso amministratore è disabilitato rispetto a quando è abilitato.
Quando si tenta di accedere, gli utenti possono visualizzare una richiesta di consenso simile a quella nella screenshot seguente:
Se l'utente non sa chi contattare per ricevere l'accesso, potrebbe non essere in grado di usare l'applicazione. Questa situazione richiede anche agli amministratori di creare un flusso di lavoro separato per tenere traccia delle richieste per le applicazioni se sono disponibili a riceverle. In qualità di amministratore, sono disponibili le opzioni seguenti per determinare il modo in cui gli utenti acconsentono alle applicazioni:
- Disabilitare il consenso dell'utente. Ad esempio, un istituto superiore potrebbe voler disattivare il consenso dell'utente in modo che l'amministrazione IT dell'istituto di istruzione abbia il controllo completo su tutte le applicazioni usate nel tenant.
- Consentire agli utenti di fornire il consenso alle autorizzazioni necessarie. NON è consigliabile mantenere aperto il consenso dell'utente se sono presenti dati sensibili nel tenant.
- Se si vuole comunque mantenere il consenso di solo amministratore per determinate autorizzazioni, ma si desidera assistere gli utenti finali nell'onboarding dell'applicazione, è possibile usare il flusso di lavoro di consenso amministratore per valutare e rispondere alle richieste di consenso dell'amministratore. In questo modo, è possibile avere una coda di tutte le richieste di consenso amministratore per il tenant e tenere traccia e rispondere direttamente tramite l'interfaccia di amministrazione di Microsoft Entra. Per informazioni su come configurare il flusso di lavoro di consenso amministratore, vedere Configurare il flusso di lavoro di consenso amministratore.
Funzionamento del flusso di lavoro di consenso amministratore
Quando si configura il flusso di lavoro di consenso amministratore, gli utenti finali possono richiedere il consenso direttamente attraverso il prompt. Gli utenti possono visualizzare una richiesta di consenso simile a quella nella screenshot seguente:
Quando un amministratore risponde a una richiesta, l'utente riceve un avviso via e-mail che informa che la richiesta è stata elaborata.
Quando l'utente invia una richiesta di consenso, questa viene visualizzata nella pagina Richiesta di consenso amministratore nell'interfaccia di amministrazione di Microsoft Entra. Gli amministratori e i revisori designati accedono per visualizzare le nuove richieste ed eseguire azioni su di loro. I revisori visualizzano solo le richieste di consenso create dopo che sono stati designati come revisori. Le richieste vengono visualizzate nelle due schede seguenti nel pannello delle richieste di consenso amministratore:
- In sospeso personali: mostra tutte le richieste attive che hanno l'utente connesso designato come revisore. Anche se i revisori possono bloccare o negare le richieste, solo gli utenti con le autorizzazioni di controllo degli accessi in base al ruolo corrette per fornire il consenso alle autorizzazioni richieste possono farlo.
- Tutte (anteprima): tutte le richieste, attive o scadute, presenti nel tenant. Ogni richiesta include informazioni sull'applicazione e sugli utenti che richiedono l'applicazione.
Notifiche tramite posta elettronica
Se configurate, tutti i revisori riceveranno notifiche tramite posta elettronica quando:
- Viene creata una nuova richiesta
- Una richiesta è scaduta
- Una richiesta si avvicina alla data di scadenza.
I richiedenti riceveranno notifiche tramite posta elettronica quando:
- Inviano una nuova richiesta di accesso
- La loro richiesta è scaduta
- La loro richiesta è stata negata o bloccata
- La loro richiesta è stata approvata
Log di audit
La tabella seguente illustra gli scenari e i valori di controllo disponibili per il flusso di lavoro di consenso amministratore.
| Scenario | Servizio di controllo | Categoria di controllo | Attività di controllo | Attore di controllo | Limitazioni del log di controllo |
|---|---|---|---|---|---|
| Amministratore che abilita il flusso di lavoro della richiesta di consenso | Verifiche di accesso | UserManagement | Creare un modello di criteri di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Amministratore che disabilita il flusso di lavoro della richiesta di consenso | Verifiche di accesso | UserManagement | Eliminare il modello di criteri di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Amministratore che aggiorna le configurazioni del flusso di lavoro di consenso | Verifiche di accesso | UserManagement | Aggiornare il modello di criteri di governance | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Utente finale che crea una richiesta di consenso amministratore per un'app | Verifiche di accesso | Criteri | Richiesta di creazione | Contesto dell'app | Attualmente non è possibile trovare il contesto utente |
| Revisori che approvano una richiesta di consenso amministratore | Verifiche di accesso | UserManagement | Approvare tutte le richieste nel flusso aziendale | Contesto dell'app | Attualmente non è possibile trovare il contesto utente o l'ID app a cui è stato concesso il consenso amministratore. |
| Revisori che negano una richiesta di consenso amministratore | Verifiche di accesso | UserManagement | Approvare tutte le richieste nel flusso aziendale | Contesto dell'app | Attualmente non è possibile trovare il contesto utente dell'attore che ha negato una richiesta di consenso amministratore |