นโยบาย การอนุมัติ และธรรมาภิบาล

นโยบายจะควบคุมว่าการดำเนินการใน Organization ของคุณจะเสร็จสมบูรณ์ทันที หรือต้องได้รับการอนุมัติจากสมาชิกคนอื่นก่อน เวิร์กโฟลว์แต่ละรายการมีนโยบายที่สามารถกำหนดค่าได้อย่างอิสระ บทความนี้อธิบายว่าการอนุมัติ นโยบาย และการล็อคทำงานร่วมกันอย่างไร สำหรับโครงสร้างการอนุญาตและเวิร์กโฟลว์ โปรดดูที่ สิทธิ์และเวิร์กโฟลว์ สำหรับภาพรวมระดับสูง โปรดดูที่ เกี่ยวกับ Organizations

วิธีการทำงานของการอนุมัติ

ทุกการดำเนินการที่มีการกำกับดูแลใน Organization จะเป็นไปตามวงจรชีวิตเดียวกัน:

ขั้นตอนที่ 1 — การเริ่มต้น: สมาชิกที่มีสิทธิ์ Initiate หรือ Execute สร้างคำขอ

ขั้นตอนที่ 2 — การตรวจสอบการดำเนินการเสร็จสมบูรณ์ทันที: หากสมาชิกมีสิทธิ์ Execute และเวิร์กโฟลว์ไม่ต้องการการอนุมัติ (ปิด "ต้องมีการอนุมัติเสมอ") คำขอจะเสร็จสมบูรณ์ทันที ไม่ต้องเข้าคิวรอการอนุมัติ ไม่ต้องรอ

ขั้นตอนที่ 3 — คิวรอการอนุมัติ: หากคำขอไม่สามารถดำเนินการได้ทันที ไม่ว่าจะเป็นเพราะสมาชิกไม่มีสิทธิ์ Execute หรือเพราะเปิด "ต้องมีการอนุมัติเสมอ" คำขอจะเข้าสู่คิวรอการอนุมัติ สมาชิกที่มีสิทธิ์ Approve สำหรับเวิร์กโฟลว์นั้นสามารถตรวจสอบได้

ขั้นตอนที่ 4 — เกณฑ์การอนุมัติ: เมื่อถึงจำนวนการอนุมัติอิสระที่กำหนด คำขอจะเสร็จสมบูรณ์

ขั้นตอนที่ 5 — การปฏิเสธ: ผู้อนุมัติคนใดก็ได้สามารถปฏิเสธคำขอที่รอดำเนินการได้ คำขอที่ถูกปฏิเสธจะไม่เสร็จสมบูรณ์

การแบ่งแยกหน้าที่

สมาชิกไม่สามารถอนุมัติคำขอของตนเองได้ ระบบบังคับใช้กฎนี้กับเวิร์กโฟลว์ทั้งหมดและไม่สามารถยกเลิกได้ด้วยการกำหนดค่าสิทธิ์หรือนโยบายใดๆ

วิธีเดียวที่สมาชิกคนเดียวสามารถดำเนินการได้ด้วยตนเองคือผ่านสิทธิ์ Execute และเฉพาะเมื่อนโยบายเวิร์กโฟลว์อนุญาต

Execute และการโต้ตอบของนโยบาย

สิทธิ์ Execute โต้ตอบกับการตั้งค่านโยบาย "ต้องมีการอนุมัติเสมอ":

สิทธิ์ของสมาชิก

"Always require approval"

สิ่งที่เกิดขึ้น

เริ่มต้น + Execute

OFF

คำขอเสร็จสมบูรณ์ทันที ไม่ต้องมีการอนุมัติ

เริ่มต้น + Execute

ON

คำขอเข้าสู่คิวรอการอนุมัติ ต้องรอผู้อนุมัติอิสระ

สำคัญ: Execute ทำงานได้ก็ต่อเมื่อนโยบายเวิร์กโฟลว์อนุญาตให้ดำเนินการเสร็จสมบูรณ์ทันที เมื่อเปิด "ต้องมีการอนุมัติเสมอ" สิทธิ์ Execute จะไม่มีผล — คำขอทั้งหมดจะต้องได้รับการอนุมัติจากสมาชิกอิสระ

จะเกิดอะไรขึ้นกับ Execute เมื่อเปิด "ต้องมีการอนุมัติเสมอ"?

Execute จะไม่ถูกลบออกจากสมาชิก มันยังคงมองเห็นได้ในการกำหนดค่าสิทธิ์ แต่ระบบจะละเว้นมันในขณะที่เปิด "ต้องมีการอนุมัติเสมอ" UI จะแสดงตัวบ่งชี้สีเตือนในคอลัมน์ Execute หากคุณเปลี่ยน "ต้องมีการอนุมัติเสมอ" กลับไปเป็นปิดในภายหลัง สมาชิกจะสามารถดำเนินการได้ทันทีอีกครั้งโดยไม่จำเป็นต้องมีการมอบสิทธิ์ใหม่

การยืนยันอีเมลสำหรับการเปลี่ยนแปลงที่อยู่

เมื่อสมาชิกใช้ Execute เพื่อเพิ่มหรือลบที่อยู่ที่อยู่ในบัญชีขาวทันที (โดยไม่มีผู้อนุมัติอิสระ) ระบบจะส่งการยืนยันทางอีเมลก่อนที่การเปลี่ยนแปลงจะมีผล การเปลี่ยนแปลงที่อยู่จะไม่เสร็จสมบูรณ์จนกว่าจะมีการยืนยัน

ในช่วงเบต้า การยืนยันทางอีเมลจะถูกส่งไปยังเจ้าของ Organization โดยไม่คำนึงว่าสมาชิกคนใดเป็นผู้ริเริ่มการเปลี่ยนแปลง การส่งการยืนยันไปยังผู้สร้างคำขอโดยตรงมีกำหนดไว้สำหรับการเปิดตัวในอนาคต

สถานะความเชื่อถือของอุปกรณ์ไม่มีผลต่อพฤติกรรมนี้ — การยืนยันทางอีเมลยังคงจำเป็นเสมอสำหรับการเปลี่ยนแปลงที่อยู่ทันที

เมื่อคำขอเปลี่ยนแปลงที่อยู่ผ่านกระบวนการอนุมัติมาตรฐานโดยมีผู้อนุมัติอิสระ ไม่จำเป็นต้องมีการยืนยันทางอีเมล การอนุมัติจากสมาชิกคนอื่น ๆ ถือเป็นการควบคุมความปลอดภัย

วิธีการกำหนดค่านโยบาย

  1. ไปที่ส่วนจัดการนโยบายในองค์กรของคุณ
  2. เลือกเวิร์กโฟลว์ที่คุณต้องการกำหนดค่า (เช่น เริ่มต้นการถอน)
  3. กำหนดจำนวนการอนุมัติที่จำเป็น — นี่คือจำนวนสมาชิกอิสระที่มีสิทธิ์อนุมัติที่ต้องลงนามอนุมัติก่อนที่คำขอจะเสร็จสมบูรณ์
  4. เลือกว่าจะเปิดใช้งาน "ต้องอนุมัติเสมอ" หรือไม่ เมื่อเปิดใช้งาน คำขอทุกรายการในเวิร์กโฟลว์นี้จะต้องผ่านคิวการอนุมัติ แม้กระทั่งจากสมาชิกที่มีสิทธิ์ดำเนินการ เมื่อปิดใช้งาน สมาชิกที่มีสิทธิ์ดำเนินการสามารถดำเนินการได้ทันที
  5. ตรวจสอบการกำหนดค่าและยืนยัน

หากเวิร์กโฟลว์จัดการนโยบายมีการกำหนดค่านโยบายไว้ การเปลี่ยนแปลงของคุณอาจเข้าสู่คิวการอนุมัติ ดูการล็อกนโยบายสำหรับรายละเอียดว่าการกำกับดูแลนโยบายทำงานอย่างไร

สำคัญ: ก่อนที่จะกำหนดจำนวนการอนุมัติที่จำเป็น ตรวจสอบให้แน่ใจว่ามีสมาชิกเพียงพอที่มีสิทธิ์อนุมัติในเวิร์กโฟลว์เป้าหมายเพื่อให้เป็นไปตามเกณฑ์ที่กำหนดไว้ ระบบจะป้องกันการกำหนดค่าที่ไม่สามารถดำเนินการได้

การตั้งค่านโยบาย

เวิร์กโฟลว์แต่ละรายการมีนโยบายของตัวเองพร้อมการตั้งค่าสองรายการ:

การตั้งค่า

สิ่งที่ทำ

จำเป็นต้องอนุมัติ

จำนวนผู้อนุมัติที่ไม่ซ้ำกันที่ต้องลงนามอนุมัติก่อนที่คำขอจะเสร็จสมบูรณ์ ผู้อนุมัติจะถูกเลือกจากกลุ่มสมาชิกที่มีสิทธิ์อนุมัติในเวิร์กโฟลว์นั้น ผู้ที่เริ่มต้นคำขอจะถูกยกเว้นจากกลุ่มผู้อนุมัติเสมอ

จำเป็นต้องได้รับอนุมัติเสมอ

เมื่อเปิดใช้งาน: คำขอทั้งหมดต้องผ่านการอนุมัติ แม้ว่าสมาชิกจะมีสิทธิ์ดำเนินการ เมื่อปิดใช้งาน: สมาชิกที่มีสิทธิ์ดำเนินการสามารถดำเนินการได้ทันที

การล็อกนโยบาย

การล็อกนโยบายป้องกันไม่ให้สมาชิกคนเดียว รวมถึงเจ้าขององค์กร ทำการเปลี่ยนแปลงการตั้งค่าการกำกับดูแลของเวิร์กโฟลว์เพียงลำพัง

เมื่อนโยบายถูกล็อก:

  • การเปลี่ยนแปลงใดๆ ต่อนโยบายของเวิร์กโฟลว์นั้นต้องได้รับการอนุมัติจากสมาชิกอิสระ
  • การปลดล็อกก็ต้องได้รับการอนุมัติอิสระเช่นกัน
  • เจ้าของอยู่ภายใต้กฎเดียวกันกับสมาชิกคนอื่นๆ ทั้งหมด

เมื่อการกำกับดูแลถูกล็อกแล้ว ไม่มีใครคนเดียวที่จะสามารถลดทอนมันได้ การเปลี่ยนแปลงในอนาคตยังคงเป็นไปได้ แต่ต้องขึ้นอยู่กับการอนุมัติอิสระและการครอบคลุมของผู้อนุมัติที่ยังคงพร้อมใช้งาน

ขอบเขต: การล็อกนโยบายใช้กับแต่ละเวิร์กโฟลว์ การล็อกนโยบายของเวิร์กโฟลว์หนึ่งจะไม่มีผลต่อเวิร์กโฟลว์อื่น ซึ่งช่วยให้คุณสามารถกระชับการกำกับดูแลทีละน้อย ทีละเวิร์กโฟลว์ได้

การล็อกนโยบายเทียบกับ "ต้องอนุมัติเสมอ" บนการจัดการนโยบาย

การควบคุมทั้งสองนี้มีเป้าหมายเดียวกันในระดับที่ต่างกัน:

การควบคุม

ขอบเขต

ผลกระทบ

การล็อกนโยบาย

หนึ่งเวิร์กโฟลว์ต่อครั้ง

การเปลี่ยนแปลงนโยบายของเวิร์กโฟลว์ที่เจาะจงนั้นต้องได้รับการอนุมัติอิสระ เวิร์กโฟลว์อื่นไม่ได้รับผลกระทบ

"Always require approval" ใน Manage Policies

เวิร์กโฟลว์ทั้งหมดพร้อมกัน

การเปลี่ยนแปลงนโยบายทั้งหมดในทุกเวิร์กโฟลว์ต้องได้รับการอนุมัติอย่างอิสระ ทำหน้าที่เป็นสวิตช์การกำกับดูแลจำนวนมาก

ใช้ Policy Lock เพื่อเพิ่มความเข้มงวดทีละขั้น ใช้ "Always require approval" ใน Manage Policies เฉพาะเมื่อคุณต้องการควบคุมการเปลี่ยนแปลงนโยบายทั้งหมดพร้อมกัน

มาตรการป้องกัน

ระบบบังคับใช้มาตรการป้องกันเพื่อป้องกันการกำหนดค่าที่ไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้:

ความพร้อมใช้งานของผู้ให้การอนุมัติ: ไม่สามารถล็อกนโยบายได้เว้นแต่จะมีสมาชิกคนอื่นอย่างน้อยหนึ่งคน (นอกเหนือจากผู้ล็อก) ที่มีสิทธิ์ Approve ในเวิร์กโฟลว์ Manage Policies หากไม่มีสิ่งนี้ นโยบายที่ล็อกไว้จะทำให้เกิดภาวะชะงักงันที่ไม่มีใครสามารถอนุมัติการเปลี่ยนแปลงในอนาคตได้

การป้องกันการล็อกเอาต์: ระบบจะบล็อกการบันทึกนโยบายเมื่อสมาชิกคนเดียวที่มีสิทธิ์ Approve ในเวิร์กโฟลว์นั้นยังถือสิทธิ์ Initiate และจำนวนการอนุมัติที่ต้องการคือ 1 เนื่องจากสมาชิกไม่สามารถอนุมัติคำขอของตนเองได้ คำขอของสมาชิกนี้จึงจะไม่มีผู้ให้การอนุมัติที่มีสิทธิ์

การปิดใช้งานไม่ได้ตรวจสอบความครอบคลุมของผู้ให้การอนุมัติ: การปิดใช้งานหรือลบสมาชิกจะยังคงดำเนินการต่อไป แม้ว่าจะลดจำนวนผู้ให้การอนุมัติที่มีอยู่ต่ำกว่าเกณฑ์ที่จำเป็นสำหรับเวิร์กโฟลว์ การตรวจสอบความครอบคลุมอัตโนมัติสำหรับการปิดใช้งานมีแผนสำหรับรุ่นในอนาคต จนกว่าจะถึงเวลานั้น ให้ตรวจสอบว่ามีสมาชิกคนอื่นที่มีสิทธิ์ Approve เพียงพอที่ยังคงใช้งานอยู่เพื่อตอบสนองจำนวนการอนุมัติที่จำเป็นในเวิร์กโฟลว์ที่ได้รับผลกระทบก่อนที่จะปิดใช้งานสมาชิก หรือติดต่อฝ่ายสนับสนุนหากคุณต้องการความช่วยเหลือ

การแก้ไขปัญหา

ระบบกำหนดให้มีสมาชิกคนอื่นอย่างน้อยหนึ่งคน (นอกเหนือจากคุณ) ที่มีสิทธิ์ Approve ในเวิร์กโฟลว์ Manage Policies ก่อนที่จะสามารถล็อกนโยบายได้ หากไม่มีผู้ให้การอนุมัติที่เป็นอิสระ การล็อกจะทำให้เกิดภาวะชะงักงันที่ไม่มีใครสามารถอนุมัติการเปลี่ยนแปลงนโยบายในอนาคตได้ กำหนดสิทธิ์ Approve ใน Manage Policies ให้กับสมาชิกคนอื่นแล้วลองอีกครั้ง

ตรวจสอบว่ามีสมาชิกที่มีสิทธิ์ Approve ในเวิร์กโฟลว์นั้นยังคงใช้งานอยู่เพียงพอหรือไม่ หากสมาชิกที่มีสิทธิ์ Approve ถูกปิดใช้งานหรือถูกลบออกไปนับตั้งแต่มีการสร้างคำขอ ผู้ให้การอนุมัติที่เหลืออาจไม่เพียงพอที่จะถึงจำนวนที่ต้องการได้ คำขอที่รอดำเนินการจะถูกยึดตามเกณฑ์การอนุมัติที่ใช้เมื่อมีการสร้างคำขอ การเปลี่ยนแปลงนโยบายในตอนนี้ไม่ลดข้อกำหนดสำหรับคำขอที่อยู่ในคิวแล้ว หากต้องการปลดบล็อก ให้เปิดใช้งานสมาชิกที่ถูกปิดใช้งานอีกครั้ง หรือกำหนดสิทธิ์ Approve ให้กับสมาชิกที่ใช้งานอยู่คนอื่น เพื่อให้สามารถปฏิบัติตามเกณฑ์เดิมได้ หาก Manage Access ต้องได้รับการอนุมัติด้วย และผู้ให้การอนุมัติคนเดียวกันไม่พร้อมใช้งาน โปรดติดต่อฝ่ายสนับสนุนเพื่อขอความช่วยเหลือ

"Always require approval" ถูกเปิดใช้งานสำหรับเวิร์กโฟลว์นั้น เมื่อเปิดใช้งานการตั้งค่านี้ Execute จะอยู่ในสถานะไม่ทำงาน — สิทธิ์ยังคงถูกกำหนดไว้ แต่ทุกคำขอจะต้องผ่านการอนุมัติอย่างอิสระ หากต้องการคืนค่าการดำเนินการที่เสร็จสมบูรณ์ทันทีสำหรับสมาชิกที่มีสิทธิ์ Execute ให้เปลี่ยน "Always require approval" เป็น OFF โปรดทราบว่านี่เป็นการดำเนินการของ Manage Policies — หาก Manage Policies เองต้องได้รับการอนุมัติ การเปลี่ยนแปลงจะต้องได้รับการอนุมัติจากสมาชิกอิสระก่อนที่จะมีผลบังคับใช้ ดู Execute และการโต้ตอบกับนโยบายด้านบน

เวิร์กโฟลว์นี้มีสมาชิกเพียงคนเดียวที่มีสิทธิ์ Approve และสมาชิกคนนั้นยังถือสิทธิ์ Initiate ด้วย เนื่องจากสมาชิกไม่สามารถอนุมัติคำขอของตนเองได้ คำขอของสมาชิกดังกล่าวจึงจะไม่มีผู้ให้การอนุมัติที่มีสิทธิ์ กำหนดสิทธิ์ Approve ให้กับสมาชิกคนอื่นอย่างน้อยหนึ่งคน หรือให้สิทธิ์ Execute แก่สมาชิกคนนี้เพื่อให้พวกเขาสามารถดำเนินการได้โดยไม่ต้องมีการอนุมัติเมื่อนโยบายอนุญาต

การปิดใช้งานไม่ได้ถูกบล็อกโดยการขาดแคลนผู้อนุมัติ หากคุณปิดใช้งานสมาชิกที่ดำรงตำแหน่ง Approve ในเวิร์กโฟลว์หนึ่งรายการหรือมากกว่า โปรดตรวจสอบว่ามีสมาชิกที่ใช้งานอยู่ซึ่งมีสิทธิ์ Approve เพียงพอที่จะตอบสนองจำนวนการอนุมัติที่จำเป็นของแต่ละเวิร์กโฟลว์หรือไม่ หากเวิร์กโฟลว์มีผู้อนุมัติไม่เพียงพอ ให้เปิดใช้งานสมาชิกอีกครั้ง หรือกำหนด Approve ให้กับสมาชิกที่ใช้งานอยู่รายอื่นในเวิร์กโฟลว์ที่ได้รับผลกระทบ คำขอที่รอดำเนินการในเวิร์กโฟลว์เหล่านั้นจะยังคงอยู่ในคิวจนกว่าจะถึงจำนวนการอนุมัติที่จำเป็น

สิ่งที่จะเกิดขึ้นต่อไป

เมื่อคุณเข้าใจวิธีการทำงานของนโยบายและการอนุมัติแล้ว โปรดดูที่ การใช้งานธรรมาภิบาล สำหรับคู่มือทีละขั้นตอนในการแนะนำข้อกำหนดการอนุมัติทีละเวิร์กโฟลว์ รวมถึงตัวอย่างที่แสดงการกำหนดค่าธรรมาภิบาลแบบเลือกและแบบเต็ม

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่