Souhlas uživatele a správce v Microsoft Entra ID

  • Článek

V tomto článku se seznámíte se základními koncepty a scénáři týkajícími se souhlasu uživatele a správce v Microsoft Entra ID.

Souhlas je proces, kdy uživatelé můžou udělit oprávnění pro aplikaci pro přístup k chráněnému prostředku. Aby bylo možné určit požadovanou úroveň přístupu, aplikace požaduje oprávnění rozhraní API, která vyžaduje. Aplikace může například požádat o oprávnění k zobrazení profilu přihlášeného uživatele a čtení obsahu poštovní schránky uživatele.

Souhlas lze zahájit různými způsoby. Uživatelům se například může zobrazit výzva k vyjádření souhlasu při prvním pokusu o přihlášení k aplikaci. V závislosti na oprávněních, která vyžadují, můžou některé aplikace vyžadovat, aby správce byl správcem, který uděluje souhlas.

Uživatel může autorizovat aplikaci pro přístup k některým datům v chráněném prostředku a současně jednat jako tento uživatel. Oprávnění, která umožňují tento typ přístupu, se nazývají "delegovaná oprávnění".

Souhlas uživatele se obvykle zahájí, když se uživatel přihlásí k aplikaci. Jakmile uživatel zadá přihlašovací údaje, zkontroluje se, jestli už byl udělen souhlas. Pokud neexistuje žádný předchozí záznam souhlasu uživatele nebo správce pro požadovaná oprávnění, uživatel se přesměruje do okna výzvy k vyjádření souhlasu, aby aplikaci udělila požadovaná oprávnění.

Souhlas uživatele od jiných správců je možný jenom v organizacích, kde je pro aplikaci povolený souhlas uživatele a pro sadu oprávnění, která aplikace vyžaduje. Pokud je souhlas uživatele zakázaný nebo pokud uživatelé nemají oprávnění k vyjádření souhlasu s požadovanými oprávněními, nezobrazí se výzva k vyjádření souhlasu. Pokud uživatelé můžou souhlasit a přijmou požadovaná oprávnění, zaznamená se souhlas a obvykle nemusí znovu souhlasit s budoucími přihlášeními ke stejné aplikaci.

Uživatelé mají kontrolu nad svými daty. Privilegovaný Správa istrator může nakonfigurovat, jestli mají uživatelé bez oprávnění správce udělit uživateli souhlas s aplikací. Toto nastavení může vzít v úvahu aspekty aplikace a vydavatele aplikace a požadovaná oprávnění.

Jako správce můžete zvolit, jestli je povolený souhlas uživatele. Pokud se rozhodnete povolit souhlas uživatele, můžete také zvolit podmínky, které musí uživatel splnit, aby s aplikací mohl souhlasit.

Když zvolíte, které zásady souhlasu aplikace platí pro všechny uživatele, můžete nastavit omezení, kdy mají uživatelé povoleno udělovat souhlas aplikacím a kdy budou muset požádat správce o kontrolu a schválení. Centrum pro správu Microsoft Entra poskytuje následující integrované možnosti:

  • Souhlas uživatele můžete zakázat. Uživatelé nemůžou udělovat oprávnění aplikacím. Uživatelé se i nadále přihlašují k aplikacím, se kterými dříve souhlasili, nebo k aplikacím, kterým správci udělili souhlas jejich jménem, ale nebudou moct souhlasit s novými oprávněními k aplikacím sami. Souhlas s novými aplikacemi můžou udělit jenom uživatelé, kteří mají udělenou roli adresáře, která obsahuje oprávnění k udělení souhlasu.

  • Uživatelé můžou udělit souhlas s aplikacemi od ověřených vydavatelů nebo vaší organizace, ale jenom pro vámi zvolená oprávnění. Všichni uživatelé můžou souhlasit pouze s aplikacemi publikovanými ověřeným vydavatelem a aplikacemi registrovanými ve vašem tenantovi. Uživatelé můžou souhlasit pouze s oprávněními, která jste klasifikovali jako nízká. Oprávnění musíte klasifikovat , abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění udělit souhlas.

  • Uživatelé můžou souhlasit se všemi aplikacemi. Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pro většinu organizací bude jedna z předdefinovaných možností vhodná. Někteří pokročilí zákazníci můžou chtít mít větší kontrolu nad podmínkami, které se řídí tím, kdy uživatelé můžou souhlasit. Tito zákazníci můžou vytvořit vlastní zásady souhlasu aplikace a nakonfigurovat tyto zásady tak, aby platily pro souhlas uživatele.

Během souhlasu správce může privilegovaný Správa istrator udělit přístup k aplikaci jménem jiných uživatelů (obvykle jménem celé organizace). Během souhlasu správce poskytují aplikace nebo služby přímý přístup k rozhraní API, které může aplikace používat, pokud neexistuje přihlášený uživatel. Konkrétní role potřebná k udělení souhlasu správce se liší v závislosti na požadovaných oprávněních, která jsou popsaná v článku udělení souhlasu správce.

Když vaše organizace zakoupí licenci nebo předplatné pro novou aplikaci, můžete aplikaci proaktivně nastavit tak, aby ji mohli používat všichni uživatelé v organizaci. Aby se zabránilo nutnosti souhlasu uživatele, může správce udělit souhlas pro aplikaci jménem všech uživatelů v organizaci.

Po udělení souhlasu správce jménem organizace se uživatelům obvykle nezobrazí výzva k vyjádření souhlasu pro danou aplikaci. V některých případech může být uživatel vyzván k vyjádření souhlasu i po udělení souhlasu správcem. Příkladem může být to, že aplikace požádá o další oprávnění, které správce ještě neudělil.

Udělení souhlasu správce jménem organizace je citlivá operace, která může vydavateli aplikace umožnit přístup k významným částem dat organizace nebo oprávnění k provádění vysoce privilegovaných operací. Příkladem takových operací může být správa rolí, úplný přístup ke všem poštovním schránkám nebo všem webům a úplná zosobnění uživatele.

Než udělíte souhlas správce celého tenanta, ujistěte se, že aplikaci a vydavateli aplikace důvěřujete pro úroveň přístupu, kterou udělujete. Pokud si nejste jisti, že rozumíte tomu, kdo aplikaci řídí a proč aplikace žádá o oprávnění, neudělujte souhlas.

Podrobné pokyny k udělení souhlasu správce aplikace najdete v tématu Vyhodnocení žádosti o souhlas správce v rámci celého tenanta.

Podrobné pokyny k udělení souhlasu správce v rámci celého tenanta z Centra pro správu Microsoft Entra najdete v tématu Udělení souhlasu správce v rámci celého tenanta pro aplikaci.

Místo udělení souhlasu pro celou organizaci může správce také použít rozhraní Microsoft Graph API k udělení souhlasu delegovaným oprávněním jménem jednoho uživatele. Podrobný příklad, který používá Microsoft Graph PowerShell, najdete v tématu Udělení souhlasu jménem jednoho uživatele pomocí PowerShellu.

Omezení přístupu uživatelů k aplikaci

Přístup uživatelů k aplikacím může být stále omezený, i když byl udělen souhlas správce v rámci celého tenanta. Nakonfigurujte vlastnosti aplikace tak, aby vyžadovaly přiřazení uživatele, aby omezilo uživatelský přístup k aplikaci. Další informace naleznete v tématu Metody pro přiřazování uživatelů a skupin.

Širší přehled, včetně způsobu zpracování dalších složitých scénářů, najdete v tématu Použití ID Microsoft Entra pro správu přístupu k aplikacím.

Pracovní postup souhlasu správce poskytuje uživatelům způsob, jak požádat o souhlas správce pro aplikace, pokud nemají oprávnění k vyjádření souhlasu sami. Pokud je povolený pracovní postup souhlasu správce, zobrazí se uživatelům okno "Požadováno schválení" pro žádost o schválení správce pro přístup k aplikaci.

Jakmile uživatelé odešlou žádost o souhlas správce, správci, kteří byli označeni jako kontroloři, obdrží oznámení. Uživatelé jsou upozorněni poté, co revidujícím na žádost reagoval. Podrobné pokyny ke konfiguraci pracovního postupu souhlasu správce pomocí Centra pro správu Microsoft Entra najdete v tématu konfigurace pracovního postupu souhlasu správce.

Po povolení pracovního postupu souhlasu správce můžou uživatelé požádat o schválení správce aplikace, ke které nemají oprávnění souhlas. Tady jsou kroky v procesu:

  1. Uživatel se pokusí přihlásit k aplikaci.
  2. Zobrazí se zpráva Požadováno schválení. Uživatel zadá odůvodnění, že potřebuje přístup k aplikaci, a pak vybere Žádost o schválení.
  3. Odeslání žádosti potvrzuje, že žádost byla odeslána správci. Pokud uživatel odešle několik žádostí, odešle se správci pouze první žádost.
  4. Uživatel obdrží e-mailové oznámení, když je žádost schválena, odepřena nebo blokována.

Další kroky