Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В некоторых ситуациях пользователям может потребоваться согласие на разрешения для приложений, которые они создают или используют с рабочими учетными записями. Однако пользователи, не являющиеся администраторами, не могут предоставлять согласие на разрешения, требующие согласия администратора. Кроме того, пользователи не могут предоставлять согласие приложениям при отключении согласия пользователя в клиенте пользователя.
Если согласие пользователя отключено, администратор может предоставить пользователям возможность получать доступ к приложениям, включив рабочий процесс согласия администратора. В этой статье вы узнаете о пользовательском интерфейсе и интерфейсе администратора, когда рабочий процесс согласия администратора включен, а не когда он отключен.
При попытке входа пользователи могут увидеть запрос на согласие, например на следующем снимке экрана.
Если пользователь не знает, кто может предоставить им доступ, он может не использовать приложение. В этой ситуации администраторы также должны создать отдельный рабочий процесс для отслеживания запросов на предоставление приложений, если они готовы их принимать.
В качестве администратора можно использовать следующие параметры, чтобы определить, как пользователи согласны с приложениями:
Отключите согласие пользователя. Например, средней школе может потребоваться отключить согласие пользователя, чтобы ИТ-администрирование школы полностью контролировало все приложения в своем клиенте.
Разрешить пользователям предоставлять согласие на необходимые разрешения. Рекомендуется сохранить согласие пользователя открытым, если у вас есть конфиденциальные данные в клиенте.
Если вы по-прежнему хотите сохранить согласие только администратора для определенных разрешений, но хотите помочь пользователям в подключении приложения, вы можете использовать рабочий процесс согласия администратора для оценки и реагирования на запросы согласия администратора. Таким образом, вы можете иметь очередь всех запросов на согласие администратора для вашего клиента. Вы можете отслеживать и отвечать на эти запросы непосредственно через Центр администрирования Microsoft Entra.
Сведения о настройке рабочего процесса согласия администратора см. в статье Настройка рабочего процесса согласия администратора.
Как работает рабочий процесс согласия администратора
При настройке рабочего процесса согласия администратора пользователи могут запрашивать согласие непосредственно через запрос. Пользователи могут увидеть запрос на согласие, например на следующем снимке экрана.
Когда администратор отвечает на запрос, пользователь получает оповещение электронной почты, которое сообщает, что запрос обрабатывается.
Когда пользователь отправляет запрос на согласие, запрос появится в области запросов на согласие администратора в Центр администрирования Microsoft Entra. Администраторы и назначенные рецензенты входят в систему, чтобы для просмотра и обработки новых заявок.
Рецензенты могут просматривать и действовать на все ожидающие запросы на согласие администратора в арендаторе, включая запросы, созданные до того, как они были назначены рецензентами. Любой запрос, который по-прежнему ожидается, остается видимым только что назначенным рецензентам, чтобы они могли просматривать и принимать меры по существующим запросам на основе назначенных разрешений.
Запросы отображаются на следующих двух вкладках в области запросов на согласие администратора:
- Мои ожидающие: на этой вкладке показаны все активные запросы, в которых вошедший в систему пользователь назначен рецензентом. Хотя рецензенты могут блокировать или запрещать запросы, только те, кто имеет правильные разрешения управления доступом на основе ролей (RBAC) для согласия на запрашиваемые разрешения, могут это сделать.
- Все (предварительная версия): на этой вкладке отображаются все запросы, активные или истекшие, которые существуют в арендаторе. Каждый запрос содержит сведения о приложении и пользователях, запрашивавших это приложение.
Уведомления по электронной почте
Если настроены уведомления по электронной почте, все рецензенты получают уведомления, когда:
- Создается новый запрос.
- Срок действия запроса истекает.
- Запрос приближается к дате окончания срока действия.
Запрашивающие получают уведомления по электронной почте, когда:
- Они отправят новый запрос на доступ.
- Срок действия запроса истекает.
- Их запрос запрещен или заблокирован.
- Их запрос утвержден.
Журналы аудита
В следующей таблице описаны сценарии и значения аудита, доступные для рабочего процесса согласия администратора.
| Сценарий | Служба аудита | Категория аудита | Действие аудита | Субъект аудита | Ограничения журнала аудита |
|---|---|---|---|---|---|
| Включение администратором рабочего процесса запроса согласия | Проверки доступа | Управление пользователями | Создание шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Администратор отключает рабочий процесс запроса согласия | Проверки доступа | Управление пользователями | Удаление шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Администратор обновляет конфигурации рабочих процессов согласия | Проверки доступа | Управление пользователями | Обновление шаблона политики управления | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Пользователь, создающий запрос согласия администратора для приложения | Проверки доступа | Политика | Создание запроса | Контекст приложения | В настоящее время не удается найти контекст пользователя |
| Рецензент утверждает запрос согласия администратора | Проверки доступа | Управление пользователями | Утверждение всех запросов в бизнес-потоке | Контекст приложения | В настоящее время вы не можете найти контекст пользователя или идентификатор приложения, которому предоставлено согласие администратора. |
| Рецензент, который отклоняет запрос на согласие администратора | Проверки доступа | Управление пользователями | Утверждение всех запросов в бизнес-потоке | Контекст приложения | В настоящее время не удается найти контекст пользователя субъекта, который отказался от запроса согласия администратора |