管理員同意工作流程概觀
在某些情況下,您的終端用戶必須同意他們正在建立或使用其工作帳戶的應用程式許可權。 不過,不允許非系統管理員使用者同意需要管理員同意的許可權。 此外,用戶無法在使用者租使用者中停用使用者同意時同意應用程式。
在停用使用者同意的情況下,系統管理員可以啟用管理員同意工作流程,讓用戶能夠提出要求以取得應用程式存取權。 在本文中,您將瞭解停用管理員同意工作流程與啟用時的使用者和系統管理員體驗。
嘗試登入時,使用者可能會看到同意提示,如下列螢幕快照所示:
如果使用者不知道要連絡誰來授與他們存取權,他們可能無法使用應用程式。 這種情況也需要系統管理員建立個別的工作流程,以在應用程式已開啟以接收應用程式時追蹤其要求。 身為系統管理員,下列選項可供您決定使用者同意應用程式的方式:
- 停用使用者同意。 例如,高中可能想要關閉使用者同意,讓學校IT系統管理能夠完全控制其租使用者中使用的所有應用程式。
- 允許使用者同意所需的許可權。 如果您的租使用者中有敏感數據,不建議讓使用者同意保持開啟。
- 如果您仍想要保留特定許可權的僅限系統管理員同意,但想要協助終端使用者將應用程式上線,您可以使用管理員同意工作流程來評估及回應管理員同意要求。 如此一來,您可以擁有租使用者管理員同意的所有要求佇列,並可透過 Microsoft Entra 系統管理中心直接追蹤和回應這些要求。 若要瞭解如何設定管理員同意工作流程,請參閱 設定管理員同意工作流程。
管理員同意工作流程的運作方式
您設定管理員同意工作流程時,終端使用者可以直接透過提示要求同意。 使用者可能會看到同意提示,如下列螢幕快照所示:
當系統管理員回應要求時,使用者會收到電子郵件警示,告知他們已處理要求。
當使用者提交同意要求時,要求會顯示在 Microsoft Entra 系統管理中心的管理員同意要求頁面中。 管理員 istrators 和指定的檢閱者登入以檢視和處理新的要求。 檢閱者只會看到在指定為檢閱者之後建立的同意要求。 要求會顯示在 [管理員同意要求] 刀鋒視窗的下列兩個索引標籤中:
- 我的擱置中:這會顯示任何已將登入使用者指定為檢閱者的作用中要求。 雖然檢閱者可以封鎖或拒絕要求,但只有具有正確 RBAC 許可權才能同意所要求許可權的人員才能這麼做。
- All(預覽):存在於租使用者中的所有要求、作用中或已過期。 每個要求都包含應用程式的相關信息,以及要求應用程式的使用者。
電子郵件通知
若設定,所有檢閱者將會在下列情況收到電子郵件通知:
- 已建立新的要求
- 要求已過期
- 要求接近到期日。
要求者將會在下列情況時收到電子郵件通知:
- 他們會提交新的存取要求
- 其要求已過期
- 已拒絕或封鎖其要求
- 已核准其要求
稽核記錄
下表概述管理員同意工作流程可用的案例和稽核值。
| 案例 | 稽核服務 | 稽核類別 | 稽核活動 | 稽核動作專案 | 稽核記錄限制 |
|---|---|---|---|---|---|
| 管理員 啟用同意要求工作流程 | 存取權檢閱 | Usermanagement | 建立治理原則範本 | 應用程式內容 | 目前找不到用戶內容 |
| 管理員停用同意要求工作流程 | 存取權檢閱 | Usermanagement | 刪除治理原則範本 | 應用程式內容 | 目前找不到用戶內容 |
| 管理員 更新同意工作流程設定 | 存取權檢閱 | Usermanagement | 更新治理原則範本 | 應用程式內容 | 目前找不到用戶內容 |
| 為應用程式建立管理員同意要求的使用者 | 存取權檢閱 | 原則 | 建立要求 | 應用程式內容 | 目前找不到用戶內容 |
| 核准管理員同意要求的檢閱者 | 存取權檢閱 | Usermanagement | 核准商務流程中的所有要求 | 應用程式內容 | 目前您無法找到已授與系統管理員同意的使用者內容或應用程式識別碼。 |
| 拒絕管理員同意要求的檢閱者 | 存取權檢閱 | Usermanagement | 核准商務流程中的所有要求 | 應用程式內容 | 您目前找不到拒絕管理員同意要求之動作項目的用戶內容 |