Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In einigen Fällen müssen Ihre Benutzer möglicherweise der Erteilung von Berechtigungen für Anwendungen, die sie erstellen oder mit ihren Geschäftskonten verwenden, zustimmen. Benutzer, die keine Administratoren sind, dürfen jedoch nicht den Berechtigungen zustimmen, die eine Administratorzustimmung erfordern. Außerdem können Benutzer anwendungen nicht zustimmen, wenn die Benutzerzustimmung im Mandanten des Benutzers deaktiviert ist.
Wenn die Zustimmung des Benutzers deaktiviert ist, kann ein Administrator Benutzern die Möglichkeit gewähren, Anfragen zum Zugriff auf Anwendungen zu erhalten, indem er den Administratorzustimmungsworkflow aktiviert. In diesem Artikel erfahren Sie mehr über die Benutzer- und Administratorerfahrung, wenn der Administratorzustimmungsworkflow aktiviert ist und wann er deaktiviert ist.
Wenn Benutzer versuchen, sich anzumelden, wird möglicherweise eine Zustimmungsaufforderung wie die im folgenden Screenshot angezeigt.
Wenn der Benutzer nicht weiß, wer ihm Zugriff gewähren kann, kann er die Anwendung möglicherweise nicht verwenden. In dieser Situation müssen Administratoren auch einen separaten Workflow erstellen, um Anforderungen für Anwendungen nachzuverfolgen, wenn sie für den Empfang geöffnet sind.
Als Administrator können Sie die folgenden Optionen verwenden, um zu bestimmen, wie Benutzer Anwendungen zustimmen:
Deaktivieren Sie die Benutzerzustimmung. Beispielsweise kann eine High School die Benutzerzustimmung deaktivieren, damit die IT-Verwaltung der Bildungseinrichtung die volle Kontrolle über alle Anwendungen in ihrem Mandanten hat.
Erlauben Sie Benutzern, den erforderlichen Berechtigungen zuzustimmen. Die bewährte Methode besteht darin, die Zustimmung der Benutzer offen zu halten, wenn Sie vertrauliche Daten in Ihrem Mandanten haben.
Wenn Sie die Zustimmung nur für Administratoren für bestimmte Berechtigungen beibehalten möchten, Ihre Benutzer jedoch bei der Integration ihrer Anwendung unterstützen möchten, können Sie den Administratorzustimmungsworkflow verwenden, um Administratorzustimmungsanforderungen auszuwerten und darauf zu reagieren. Auf diese Weise können Sie eine Warteschlange aller Anforderungen für die Administratorzustimmung für Ihren Mandanten haben. Sie können diese Anforderungen direkt über das Microsoft Entra Admin Center nachverfolgen und darauf reagieren.
Informationen zum Konfigurieren des Workflows für die Administratorzustimmung finden Sie unter Konfigurieren des Workflows für die Administratorzustimmung.
Funktionsweise des Administratorzustimmungsworkflows
Wenn Sie den Workflow für die Administratorzustimmung konfigurieren, können Ihre Benutzer die Zustimmung direkt über die Eingabeaufforderung anfordern. Die Benutzer sehen möglicherweise eine Zustimmungsaufforderung wie die im folgenden Screenshot.
Wenn ein Administrator auf eine Anforderung antwortet, erhält der Benutzer eine E-Mail-Benachrichtigung, die besagt, dass die Anforderung verarbeitet wird.
Wenn der Benutzer eine Zustimmungsanforderung übermittelt, wird die Anforderung im Bereich für Administratorzustimmungsanforderungen im Microsoft Entra Admin Center angezeigt. Administratoren und benannte Prüfer melden sich an, um die neuen Anforderungen anzuzeigen und zu bearbeiten.
** Reviewer können alle ausstehenden Administratorzustimmungsanforderungen im Tenant einsehen und bearbeiten, einschließlich Anforderungen, die erstellt wurden, bevor sie als Reviewer benannt wurden. Jede Anforderung, die noch aussteht, bleibt für neu zugewiesene Prüfer sichtbar, sodass sie vorhandene Anforderungen basierend auf ihren zugewiesenen Berechtigungen überprüfen und ergreifen können.
Anforderungen werden auf den folgenden beiden Registerkarten im Bereich für Administratorzustimmungsanforderungen angezeigt:
- Meine ausstehenden Anfragen: Auf dieser Registerkarte werden alle aktiven Anforderungen angezeigt, für die der angemeldete Benutzer als Prüfer festgelegt wurde. Obwohl Prüfer Anforderungen blockieren oder verweigern können, können nur Personen mit den richtigen rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) dies tun, um den angeforderten Berechtigungen zuzustimmen.
- Alle (Vorschau): Auf dieser Registerkarte werden alle Anfragen angezeigt, die im Mandanten vorhanden sind und aktiv oder abgelaufen sind. Jede Anforderung enthält Informationen über die Anwendung und die Benutzer, die die Anwendung angefordert haben.
E-Mail-Benachrichtigungen
Wenn E-Mail-Benachrichtigungen konfiguriert sind, erhalten alle Prüfer die Benachrichtigungen, wenn:
- Es wird eine neue Anforderung erstellt.
- Eine Anforderung läuft ab.
- Eine Anforderung nähert sich dem Ablaufdatum.
Anforderer erhalten E-Mail-Benachrichtigungen, wenn:
- Sie übermitteln eine neue Zugriffsanforderung.
- Ihre Anfrage läuft ab.
- Ihre Anfrage wird verweigert oder blockiert.
- Ihre Anfrage wird genehmigt.
Überwachungsprotokolle
In der folgenden Tabelle sind die Szenarien und Überwachungswerte aufgeführt, die für den Administratorzustimmungsworkflow verfügbar sind.
| Szenario | Überwachungsdienst | Überwachungskategorie | Auditaktivität | Audit-Akteur | Einschränkungen des Prüfprotokolls |
|---|---|---|---|---|---|
| Administrator aktiviert den Workflow für die Zustimmungsanforderung. | Zugriffsüberprüfungen | Benutzerverwaltung | Governancerichtlinienvorlage erstellen | App-Kontext | Derzeit können Sie den Benutzerkontext nicht finden. |
| Administrator, der den Zustimmungsanforderungsworkflow deaktiviert | Zugriffsüberprüfungen | Benutzerverwaltung | Governancerichtlinienvorlage löschen | App-Kontext | Derzeit können Sie den Benutzerkontext nicht finden. |
| Administrator, der die Konfigurationen des Zustimmungsworkflows aktualisiert | Zugriffsüberprüfungen | Benutzerverwaltung | Governancerichtlinienvorlage aktualisieren | App-Kontext | Derzeit können Sie den Benutzerkontext nicht finden. |
| Benutzer, der eine Administratorzustimmungsanforderung für eine App erstellt | Zugriffsüberprüfungen | Policy | Erstellungsanforderung | App-Kontext | Derzeit können Sie den Benutzerkontext nicht finden. |
| Prüfer, der eine Administratorzustimmungsanforderung genehmigt | Zugriffsüberprüfungen | Benutzerverwaltung | Alle Anforderungen im Geschäftsflow genehmigen | App-Kontext | Derzeit können Sie den Benutzerkontext oder die App-ID, für die die Administratorzustimmung erteilt wurde, nicht finden. |
| Prüfer, der eine Administratorzustimmungsanforderung verweigert | Zugriffsüberprüfungen | Benutzerverwaltung | Alle Anforderungen im Geschäftsflow genehmigen | App-Kontext | Derzeit können Sie den Benutzerkontext des Akteurs nicht finden, der eine Administratorzustimmungsanforderung verweigert hat. |