Felhasználói és rendszergazdai hozzájárulás a Microsoft Entra-azonosítóban

  • Cikk

Ebben a cikkben megismerheti a felhasználói és rendszergazdai hozzájárulással kapcsolatos alapfogalmakat és forgatókönyveket a Microsoft Entra ID-ban.

A hozzájárulás olyan folyamat, amelyben a felhasználók engedélyt adhatnak egy alkalmazásnak egy védett erőforrás eléréséhez. A szükséges hozzáférési szint megadásához egy alkalmazás kéri a szükséges API-engedélyeket. Egy alkalmazás például engedélyt kérhet egy bejelentkezett felhasználó profiljának megtekintésére, és elolvashatja a felhasználó postaládájának tartalmát.

A hozzájárulás különböző módokon kezdeményezhető. A felhasználók például akkor kérhetik a hozzájárulást, ha először próbálnak bejelentkezni egy alkalmazásba. A szükséges engedélyektől függően előfordulhat, hogy egyes alkalmazásokhoz rendszergazda szükséges a hozzájárulás megadásához.

A felhasználók engedélyezhetik, hogy az alkalmazások hozzáférjenek bizonyos adatokhoz a védett erőforráson, miközben felhasználóként működnek. Az ilyen típusú hozzáférést engedélyező engedélyeket "delegált engedélyeknek" nevezzük.

A felhasználói hozzájárulást általában akkor kezdeményezik, amikor egy felhasználó bejelentkezik egy alkalmazásba. Miután a felhasználó megadta a bejelentkezési hitelesítő adatokat, a rendszer ellenőrzi, hogy a hozzájárulás már meg lett-e adva. Ha a szükséges engedélyekhez nem található korábbi felhasználói vagy rendszergazdai hozzájárulási rekord, a rendszer a felhasználót a hozzájárulási kérés ablakára irányítja, hogy megadja az alkalmazásnak a kért engedélyeket.

A nem rendszergazdák általi felhasználói hozzájárulás csak azokban a szervezetekben lehetséges, ahol engedélyezve van a felhasználói hozzájárulás az alkalmazáshoz és az alkalmazás által igényelt engedélyekhez. Ha a felhasználói hozzájárulás le van tiltva, vagy ha a felhasználók nem járulhatnak hozzá a kért engedélyekhez, a rendszer nem kéri a hozzájárulást. Ha a felhasználók engedélyt kapnak a hozzájárulásra, és elfogadják a kért engedélyeket, a rendszer rögzíti a hozzájárulást, és általában nem kell újból beleegyezniük az ugyanazon alkalmazásba való későbbi bejelentkezésekhez.

A felhasználók irányítják az adataikat. A privileged Rendszergazda istrator konfigurálhatja, hogy a nem rendszergazdai felhasználók engedélyt adhatnak-e a felhasználónak egy alkalmazáshoz. Ez a beállítás figyelembe veheti az alkalmazás és az alkalmazás közzétevőjének szempontjait, valamint a kért engedélyeket.

Rendszergazdaként megadhatja, hogy engedélyezve van-e a felhasználói hozzájárulás. Ha úgy dönt, hogy engedélyezi a felhasználói hozzájárulást, azt is kiválaszthatja, hogy milyen feltételeknek kell teljesülnie ahhoz, hogy a felhasználó jóváhagyhassa az alkalmazást.

Ha kiválasztja, hogy mely alkalmazás-hozzájárulási szabályzatok vonatkoznak az összes felhasználóra, megadhatja, hogy a felhasználók mikor adhatnak hozzájárulást az alkalmazásokhoz, és hogy mikor kell kérniük a rendszergazdai felülvizsgálatot és jóváhagyást. A Microsoft Entra felügyeleti központ a következő beépített beállításokat biztosítja:

  • Letilthatja a felhasználói hozzájárulást. A felhasználók nem adhatnak engedélyeket az alkalmazásokhoz. A felhasználók továbbra is bejelentkeznek azokhoz az alkalmazásokhoz, amelyekhez korábban hozzájárultak, vagy olyan alkalmazásokba, amelyekhez a rendszergazdák hozzájárultak a nevükben, de önállóan nem járulhatnak hozzá az alkalmazások új engedélyéhez. Csak azok a felhasználók járulhatnak hozzá az új alkalmazásokhoz, akik olyan címtárszerepkört kaptak, amely tartalmazza a hozzájárulás megadására vonatkozó engedélyt.

  • A felhasználók engedélyezhetik az ellenőrzött közzétevőktől vagy a szervezettől származó alkalmazásokat, de csak az Ön által kiválasztott engedélyekhez. Minden felhasználó csak az ellenőrzött közzétevő által közzétett alkalmazásokhoz és a bérlőben regisztrált alkalmazásokhoz járulhat hozzá. A felhasználók csak az alacsony hatásúként besorolt engedélyekhez járulhatnak hozzá. Osztályoznia kell az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.

  • A felhasználók minden alkalmazáshoz beleegyezhetnek. Ez a beállítás lehetővé teszi, hogy minden felhasználó hozzájáruljon minden olyan engedélyhez, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz.

A legtöbb szervezet esetében az egyik beépített lehetőség megfelelő lesz. Egyes fejlett ügyfelek nagyobb mértékben szabályozhatják azokat a feltételeket, amelyek szabályozzák, hogy a felhasználók mikor hagyhatják jóvá a hozzájárulást. Ezek az ügyfelek egyéni alkalmazás-hozzájárulási szabályzatot hozhatnak létre, és konfigurálhatják ezeket a szabályzatokat úgy, hogy a felhasználói hozzájárulásra vonatkozzanak.

A rendszergazdai hozzájárulás során a Privileged Rendszergazda istrator hozzáférést adhat az alkalmazásnak más felhasználók nevében (általában a teljes szervezet nevében). A rendszergazdai hozzájárulás során az alkalmazások vagy szolgáltatások közvetlen hozzáférést biztosítanak egy API-hoz, amelyet az alkalmazás használhat, ha nincs bejelentkezett felhasználó. A rendszergazdai hozzájárulás megadásához szükséges konkrét szerepkör a kért engedélyektől függ, amelyeket a rendszergazdai hozzájárulás megadásáról szóló cikkben ismertetünk.

Amikor a szervezet licencet vagy előfizetést vásárol egy új alkalmazáshoz, proaktív módon érdemes beállítania az alkalmazást, hogy a szervezet összes felhasználója használhassa. A felhasználói hozzájárulás szükségességének elkerülése érdekében a rendszergazda a szervezet összes felhasználója nevében adhat hozzájárulást az alkalmazáshoz.

Miután a rendszergazda rendszergazdai hozzájárulást adott a szervezet nevében, a rendszer általában nem kér hozzájárulást az alkalmazáshoz. Bizonyos esetekben előfordulhat, hogy a felhasználó akkor is hozzájárulást kér, ha a rendszergazda megadta a hozzájárulást. Ilyen lehet például, ha egy alkalmazás egy másik engedélyt kér, amelyet a rendszergazda még nem adott meg.

A szervezet nevében történő rendszergazdai hozzájárulás megadása érzékeny művelet, amely lehetővé teszi az alkalmazás közzétevőjének a szervezet adatainak jelentős részéhez való hozzáférést, vagy a magas jogosultsági szintű műveletek elvégzésére vonatkozó engedélyt. Ilyen műveletek lehetnek például a szerepkör-kezelés, az összes postaládához vagy webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés.

A bérlőszintű rendszergazdai hozzájárulás megadása előtt győződjön meg arról, hogy megbízik az alkalmazásban és az alkalmazás közzétevőjében a megadott hozzáférési szinthez. Ha nem biztos abban, hogy tisztában van azzal, hogy ki irányítja az alkalmazást, és miért kéri az alkalmazás az engedélyeket, ne adjon engedélyt.

Ha részletes útmutatást szeretne adni az alkalmazásadminisztrátori hozzájárulás megadásához, tekintse meg a bérlőszintű rendszergazdai hozzájárulásra vonatkozó kérés kiértékelését ismertető témakört.

A Microsoft Entra felügyeleti központ bérlőszintű rendszergazdai hozzájárulásának megadására vonatkozó részletes útmutatásért lásd : Bérlőszintű rendszergazdai hozzájárulás megadása egy alkalmazáshoz.

Ahelyett, hogy egy teljes szervezetnek ad meg hozzájárulást, a rendszergazda a Microsoft Graph API-val is engedélyezheti a delegált engedélyeket egyetlen felhasználó nevében. A Microsoft Graph PowerShellt használó részletes példa: Hozzájárulás megadása egyetlen felhasználó nevében a PowerShell használatával.

Alkalmazás felhasználói hozzáférésének korlátozása

Az alkalmazásokhoz való felhasználói hozzáférés továbbra is korlátozott lehet, még akkor is, ha bérlői szintű rendszergazdai hozzájárulást adtak. Konfigurálja az alkalmazás tulajdonságait úgy, hogy felhasználói hozzárendelést igényeljen az alkalmazáshoz való hozzáférés korlátozásához. További információ: Felhasználók és csoportok hozzárendelésének módszerei.

Az egyéb összetett forgatókönyvek kezelésével kapcsolatos átfogóbb áttekintésért tekintse meg a Microsoft Entra ID használata alkalmazáshozzáférés-kezeléshez című témakört.

A rendszergazdai hozzájárulási munkafolyamat lehetővé teszi a felhasználók számára, hogy rendszergazdai hozzájárulást kérjenek az alkalmazásokhoz, ha nem adhatják meg maguknak a hozzájárulást. Ha a rendszergazdai hozzájárulási munkafolyamat engedélyezve van, a felhasználók számára megjelenik egy "Jóváhagyás szükséges" ablak, amely rendszergazdai jóváhagyást kér az alkalmazáshoz való hozzáféréshez.

Miután a felhasználók beküldték a rendszergazdai hozzájárulási kérelmet, a véleményezőként kijelölt rendszergazdák értesítést kapnak. A felhasználók értesítést kapnak, miután egy felülvizsgáló eljárt a kérésüknek megfelelően. A rendszergazdai hozzájárulási munkafolyamat Microsoft Entra felügyeleti központtal történő konfigurálására vonatkozó részletes útmutatásért tekintse meg a rendszergazdai hozzájárulási munkafolyamat konfigurálását ismertető cikket.

A rendszergazdai hozzájárulási munkafolyamat engedélyezése után a felhasználók rendszergazdai jóváhagyást kérhetnek egy olyan alkalmazáshoz, amelyhez nem járultak hozzá. A folyamat lépései a következők:

  1. Egy felhasználó megpróbál bejelentkezni az alkalmazásba.
  2. Megjelenik egy jóváhagyáshoz szükséges üzenet. A felhasználó megindokolja az alkalmazáshoz való hozzáférés szükségességét, majd a "Jóváhagyás kérése" lehetőséget választja.
  3. Az elküldött kérések megerősítik, hogy a kérés elküldve lett a rendszergazdának. Ha a felhasználó több kérést is küld, a rendszer csak az első kérelmet küldi el a rendszergazdának.
  4. A felhasználó e-mailben értesítést kap, ha a kérést jóváhagyják, elutasítják vagy letiltják.

További lépések