Microsoft Entra ID:n (aiemmin Azure AD) Admin Consent Workflow on ominaisuus, joka mahdollistaa järjestelmänvalvojan hyväksyntää vaativien sovellusten pääsyoikeuspyyntöjen keskitetyn hallinnan. Se tarjoaa hallitumman ja tietoturvallisemman prosessin, jossa käyttäjille ei tarvitse antaa laajempia pääsyoikeuksia vaan oikeuksia voidaan jakaa sovelluskohtaisesti tarpeen mukaan.
Kun käyttäjä yrittää käyttää sovellusta, joka vaatii järjestelmänvalvojan hyväksynnän, mutta hänellä ei ole tarvittavia oikeuksia, hän voi lähettää hyväksyntäpyynnön. Tämä pyyntö toimitetaan automaattisesti sähköpostitse nimetyille valvojille (reviewers), jotka voivat arvioida pyynnön ja joko hyväksyä, hylätä tai estää sen. Käyttäjä saa ilmoituksen päätöksestä automaattisesti.
Admin Consent Workflowin käyttöönotton avulla voidaan ehkäistä tilanteita, joissa tietomurron yhteydessä hyökkääjä myöntää kolmannen osapuolen sähköpostisovellukselle oikeudet käyttäjän sähköpostilaatikkoon ilman käyttäjän tietoista hyväksyntää. Nimetyille valvojille keskitetty pääsyoikeuksien hyväksyntä parantaa ja yhdenmukaistaa niiden hallintaa ja valvontaa.
Hyödyt ja käyttöönoton perusteet
- Tietoturvan parantaminen
Ilman keskitettyä hyväksyntäprosessia käyttäjät voivat myöntää sovelluksille epähuomiossa liian laajoja oikeuksia. Admin Consent Workflow antaa järjestelmänvalvojille läpinäkyvyyttä kaikkiin pyyntöihin ja mahdollisuuden arvioida riskit ennen suostumuksen antamista. - Vähimmän oikeuden periaatteen tukeminen
Suositus on käyttää mahdollisimman rajattuja rooleja. Tämän ominaisuuden avulla organisaatio voi keskittää pyyntöjen käsittelyn tarkastelijoille ilman, että heille tarvitsee antaa laajaa Global Administrator -roolia. - Läpinäkyvä ja auditoitava hallinta
Pyyntöjen käsittely ja päätökset tallentuvat järjestelmään, mikä helpottaa auditointia, raportointia ja resurssien kohdentamista IT-hallinnossa. - Sujuvampi käyttäjäkokemus
Käyttäjät voivat itse käynnistää hyväksyntäprosessin ilman erillistä yhteydenottoa IT-osastolle. Tämä nopeuttaa oikeuksien saamista ja vähentää turhaa viestintää.
Näin otat Admin Consent Workflowin käyttöön
Kirjaudu
Kirjaudu sisään Microsoft Entra -hallintakeskukseen https://entra.microsoft.com/ (Ulkoinen linkki) tunnuksella, jolla on Global Administrator -oikeudet.
Siirry polkua:
Entra ID > Enterprise applications > Consent and permissions > Admin consent settings
Aseta valinnaksi:
“Users can request admin consent to apps they are unable to consent to” > Yes
Määritä seuraavat asetukset:
- Who can review admin consent requests: Valitse käyttäjät, ryhmät tai roolit, jotka toimivat tarkastelijoina.
- Email notifications: Ota käyttöön sähköposti-ilmoitukset uusista pyynnöistä.
- Consent request expires after (days): Määritä, kuinka monta päivää pyyntö pysyy voimassa ennen vanhenemista.
Tallenna asetukset
Huomioi, että asetusten aktivoituminen voi kestää jopa tunnin.
Tarkastelijoiden hallinta ja ylläpito
Tarkastelijoita voidaan lisätä tai poistaa milloin tahansa asetuksista. On kuitenkin hyvä huomioida seuraavat seikat:
- Uudet tarkastelijat eivät näe aiemmin tehtyjä pyyntöjä, jotka on luotu ennen heidän nimeämistään.
- Poistetut tarkastelijat saavat edelleen muistutuksia pyynnöistä, jotka ovat olleet aktiivisia heidän nimittämisensä aikana.
Yhteenveto
Admin Consent Workflow on keskeinen osa organisaation pääsynhallinnan ja tietoturvan kehittämistä. Se tuo selkeän, läpinäkyvän ja auditoitavan prosessin käyttöoikeuspyyntöihin. Suosittelemme sen käyttöönottoa kaikissa organisaatioissa, jotka hyödyntävät Microsoft Entra ID:tä ja haluavat parantaa sovellusten hallintaa ilman, että tietoturvasta tingitään.