Overzicht van werkstroom voor beheerderstoestemming
Er kunnen situaties zijn waarin uw eindgebruikers toestemming moeten geven voor machtigingen voor toepassingen die ze maken of gebruiken met hun werkaccounts. Niet-beheerders mogen echter geen toestemming geven voor machtigingen waarvoor beheerderstoestemming is vereist. Gebruikers kunnen ook geen toestemming geven voor toepassingen wanneer gebruikerstoestemming is uitgeschakeld in de tenant van de gebruiker.
In dergelijke situaties waarin gebruikerstoestemming is uitgeschakeld, kan een beheerder gebruikers de mogelijkheid geven om aanvragen te doen voor het verkrijgen van toegang tot toepassingen door de werkstroom voor beheerderstoestemming in te schakelen. In dit artikel krijgt u informatie over de gebruikers- en beheerderservaring wanneer de werkstroom voor beheerderstoestemming is uitgeschakeld en wanneer deze is ingeschakeld.
Wanneer gebruikers zich proberen aan te melden, zien ze mogelijk een toestemmingsprompt zoals in de volgende schermopname:
Als de gebruiker niet weet wie er contact moet opnemen om hem of haar toegang te verlenen, kan de gebruiker de toepassing mogelijk niet gebruiken. In deze situatie moeten beheerders ook een afzonderlijke werkstroom maken om aanvragen voor toepassingen bij te houden als ze zijn geopend om ze te ontvangen. Als beheerder bestaan de volgende opties om te bepalen hoe gebruikers toestemming geven voor toepassingen:
- Gebruikerstoestemming uitschakelen. Een middelbare school kan bijvoorbeeld gebruikerstoestemming uitschakelen, zodat het IT-beheer van de school volledige controle heeft over alle toepassingen die in hun tenant worden gebruikt.
- Toestaan dat gebruikers toestemming geven voor de vereiste machtigingen. Het is NIET raadzaam om gebruikerstoestemming open te houden als u gevoelige gegevens in uw tenant hebt.
- Als u nog steeds toestemming van de beheerder wilt behouden voor bepaalde machtigingen, maar uw eindgebruikers wilt helpen bij het onboarden van hun toepassing, kunt u de werkstroom voor beheerderstoestemming gebruiken om aanvragen voor beheerderstoestemming te evalueren en erop te reageren. Op deze manier kunt u een wachtrij met alle aanvragen voor beheerderstoestemming voor uw tenant hebben en deze rechtstreeks bijhouden en erop reageren via het Microsoft Entra-beheercentrum. Zie De werkstroom voor beheerderstoestemming configureren voor meer informatie over het configureren van de werkstroom voor beheerderstoestemming.
Hoe de werkstroom voor beheerderstoestemming werkt
Wanneer u de werkstroom voor beheerderstoestemming configureert, kunnen uw eindgebruikers rechtstreeks om toestemming vragen via de prompt. De gebruikers zien mogelijk een toestemmingsprompt zoals die in de volgende schermafbeelding:
Wanneer een beheerder reageert op een aanvraag, ontvangt de gebruiker een e-mailwaarschuwing waarin wordt geïnformeerd dat de aanvraag is verwerkt.
Wanneer de gebruiker een toestemmingsaanvraag indient, wordt de aanvraag weergegeven op de pagina met beheerderstoestemmingsaanvragen in het Microsoft Entra-beheercentrum. Beheer istrators en aangewezen revisoren melden zich aan om de nieuwe aanvragen te bekijken en erop te reageren. Revisoren zien alleen toestemmingsaanvragen die zijn gemaakt nadat ze zijn aangewezen als revisoren. Aanvragen worden weergegeven op de volgende twee tabbladen op de blade aanvragen voor beheerderstoestemming:
- Mijn in behandeling: Hiermee worden actieve aanvragen weergegeven waarvoor de aangemelde gebruiker is aangewezen als revisor. Hoewel revisoren aanvragen kunnen blokkeren of weigeren, kunnen alleen personen met de juiste RBAC-machtigingen om toestemming te geven voor de aangevraagde machtigingen dit doen.
- All (preview): alle aanvragen, actief of verlopen, die aanwezig zijn in de tenant. Elke aanvraag bevat informatie over de toepassing en de gebruikers die de toepassing aanvragen.
E-mailmeldingen
Als dit is geconfigureerd, ontvangen alle revisoren e-mailmeldingen wanneer:
- Er is een nieuwe aanvraag gemaakt
- Een aanvraag is verlopen
- Een aanvraag de vervaldatum nadert.
Aanvragers ontvangen e-mailmeldingen wanneer:
- Ze verzenden een nieuwe aanvraag voor toegang
- Hun aanvraag is verlopen
- Hun verzoek is geweigerd of geblokkeerd
- Hun verzoek is goedgekeurd
Auditlogboeken
De onderstaande tabel bevat een overzicht van de scenario's en controlewaarden die beschikbaar zijn voor de werkstroom voor beheerderstoestemming.
Scenario | Auditservice | Controlecategorie | Controleactiviteit | Audit Actor | Beperkingen voor auditlogboeken |
---|---|---|---|---|---|
Beheer de werkstroom voor toestemmingsaanvragen inschakelen | Toegangsbeoordelingen | UserManagement | Sjabloon voor governancebeleid maken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
Beheer de werkstroom voor toestemmingsaanvragen uitschakelen | Toegangsbeoordelingen | UserManagement | Sjabloon voor governancebeleid verwijderen | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
Beheer de werkstroomconfiguraties voor toestemming bijwerken | Toegangsbeoordelingen | UserManagement | Sjabloon voor governancebeleid bijwerken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
Eindgebruiker die een aanvraag voor beheerderstoestemming voor een app maakt | Toegangsbeoordelingen | Beleid | Aanvraag maken | App-context | Momenteel kunt u de gebruikerscontext niet vinden |
Revisoren die een aanvraag voor beheerderstoestemming goedkeuren | Toegangsbeoordelingen | UserManagement | Alle aanvragen in de bedrijfsstroom goedkeuren | App-context | Momenteel kunt u de gebruikerscontext of de app-id waaraan beheerderstoestemming is verleend, niet vinden. |
Revisoren die een aanvraag voor beheerderstoestemming weigeren | Toegangsbeoordelingen | UserManagement | Alle aanvragen in de bedrijfsstroom goedkeuren | App-context | Momenteel kunt u de gebruikerscontext van de actor die een aanvraag voor beheerderstoestemming heeft geweigerd, niet vinden |