Machtigingen aanvragen waarvoor beheerderstoestemming is vereist

In dit artikel beschrijven we de machtigings- en toestemmingservaring voor een scenario waarin u als ontwikkelaar uw toepassingscode schrijft om toepassingsmachtigingen aan te vragen waarvoor beheerderstoestemming is vereist. Voorbeeldschermopnamen van dialoogvensters voor machtigingen en toestemming en het Microsoft Entra-beheercentrum geven u een idee van wat uw gebruikers en tenantbeheerders ervaren. Verbeter de samenwerking met beheerders om het Zero Trust-principe van minimale bevoegdheden in uw toepassingen te implementeren.

Tijdens het ontwikkelen van uw toepassing schrijft u code die toegang tot een resource aanvraagt door een toegangstoken aan te vragen met een specifiek bereik (of machtiging). U gebruikt de bereikparameter zoals beschreven in de OAuth 2.0-standaard die sommige personen beschrijven als een machtiging. Resource-eigenaren verlenen of weigeren machtigingsaanvragen. In Microsoft Entra ID is de resource-eigenaar de gebruiker van de app of een beheerder die de rechten heeft om toestemming te verlenen aan die resource namens alle gebruikers.

De gebruikerstoestemmingservaring

Wanneer uw toepassing toestemming vraagt voor toegang tot een resource, kan uw gebruiker een dialoogvenster machtigingen zien dat vergelijkbaar is met dit voorbeeld.

In het bovenstaande voorbeelddialoogvenster verleent de gebruiker toestemming om de gegevens namens de app te laten lezen door Accepteren te selecteren of de aanvraag te weigeren door Annuleren te selecteren. De toepassing ontvangt een toegangstoken en kan de processen voortzetten nadat de gebruiker toestemming heeft verleend. Vergeet niet om ervoor te zorgen dat uw app correct kan worden verwerkt wanneer er geen token wordt ontvangen.

Beheer toestemming

Voor sommige toegangsaanvragen kan alleen een beheerder toestemming verlenen. Als de aangevraagde toegang krachtig is of resources omvat waarvan eigenaren niet de huidige gebruikers zijn, code zodat alleen een beheerder aanvragen kan verlenen.

U weet echter nooit welke machtigingen beheerderstoestemming vereisen en waarmee een gewone gebruiker toestemming kan verlenen, omdat tenantbeheerders hun tenant kunnen configureren met Gebruikerstoestemming niet toestaan (alle machtigingen vereisen beheerderstoestemming), zoals wordt weergegeven in de volgende voorbeeldschermopname van de instellingen voor gebruikerstoestemming in het Microsoft Entra-beheercentrum.

Beheer s kunnen ook Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers, voor geselecteerde machtigingen, zoals wordt weergegeven in de volgende voorbeeldschermopname van de instellingen voor gebruikerstoestemming in het Microsoft Entra-beheercentrum.

Beheer kan dan Voeg machtigingen toe waaraan gebruikers toestemming kunnen geven, zoals wordt weergegeven in de volgende voorbeeldschermopname van machtigingsclassificaties in het Microsoft Entra-beheercentrum.

Wanneer uw app een machtiging aanvraagt waarvoor beheerderstoestemming is vereist (door ontwerp of beheerdersconfiguratie), ziet uw gebruiker mogelijk het dialoogvenster Goedkeuring van de beheerder nodig, vergelijkbaar met dit voorbeeld.

In het bovenstaande voorbeelddialoogvenster ziet u de standaardervaring (out-of-the-box) voor machtigingen waarvoor beheerderstoestemming is vereist. De meeste gebruikers weten niet wat ze in dit scenario moeten doen. Ze weten niet wie hun beheerder is, ze weten niet naar wie ze moeten gaan voor goedkeuring. Deze onzekerheid kan de mogelijkheid van de gebruiker beperken om gewenste resultaten te bereiken.

De machtigingen en toestemmingservaring verbeteren

Om de machtigingen en toestemmingservaring te verbeteren, kan de tenantbeheerder de werkstroom voor beheerderstoestemming configureren, zoals wordt weergegeven in de volgende voorbeeldschermopname van gebruikersinstellingen in het Microsoft Entra-beheercentrum.

In Beheer toestemmingsaanvragen kan de tenantbeheerder de machtiging en toestemming van de gebruiker verbeteren door Ja op gebruikers te selecteren om beheerderstoestemming te vragen voor apps waarvoor ze geen toestemming kunnen geven en andere instellingen voor Beheer toestemmingsaanvragen te configureren.

Nadat de tenantbeheerder Ja op gebruikers heeft geselecteerd, kan de gebruiker beheerderstoestemming aanvragen voor apps waarvoor ze geen toestemming kunnen geven en een toepassing een machtiging aanvraagt waarvoor beheerderstoestemming is vereist, ziet de gebruiker iets dat lijkt op het volgende dialoogvenster Goedkeuring dat een betere gebruikerservaring biedt.

In het bovenstaande voorbeelddialoogvenster kan de gebruiker een reden invoeren voor het aanvragen van deze app voordat hij goedkeuring aanvraagt. De goedkeuringsaanvraag voert vervolgens een wachtrij voor Beheer toestemmingsaanvragen in (zoals wordt weergegeven in de volgende voorbeeldschermopname) waarin beheerders opties hebben om toepassingen in hun organisatie te controleren, te accepteren of te verbieden op basis van een risicoprofiel.

Wanneer een beheerder een toepassing uitvoert waarvoor beheerderstoestemming is vereist zonder toestemming te configureren in het Microsoft Entra-beheercentrum, ziet de gebruiker van de beheerder een dialoogvenster Machtigingen aangevraagd , vergelijkbaar met het volgende voorbeeld.

In het bovenstaande voorbeeld ziet de beheerder een beschrijving van de machtigingen die de toepassing aanvraagt. De beheerder kan Accepteren selecteren om de toepassing afzonderlijk uit te voeren of ze kunnen Toestemming namens uw organisatie selecteren voordat ze Accepteren selecteren. Nadat de beheerder toestemming voor de organisatie verleent, hoeft de gebruiker van de toekomstige organisatie geen toestemming te verlenen voor deze toepassing, tenzij een beheerder toestemming verwijdert uit de tenant Beheer configuratie van toestemmingsaanvragen.

Een andere methode voor toestemming van tenantbeheerders is in microsoft Entra-beheercentrummachtigingen, waar beheerders de details van eerder aangevraagde app-machtigingen kunnen bekijken.

In het bovenstaande voorbeeld van gebruikerstoestemming kan de beheerder de verleende machtigingen voor de app bekijken, samen met informatie over claims, machtigingstype en wie toestemming heeft gegeven. De beheerder kan Beheer toestemming selecteren om de verleende machtigingen te controleren waarvoor beheerderstoestemming is vereist.

Vooraf beheerderstoestemming aanvragen

De beste strategie voor toepassingsmachtigingen is om vooraf alle machtigingen te declareren die uw app mogelijk nodig heeft of aanvraagt wanneer u uw app registreert. U hoeft niet alle machtigingen tegelijk aan te vragen, maar nadat u alle machtigingen hebt declareren die uw app mogelijk nodig heeft, kunnen beheerders toestemming verlenen selecteren in de configuratie van uw app in de tenant om een dialoogvenster weer te geven dat vergelijkbaar is met dit voorbeeld.

In het bovenstaande voorbeeld ziet u hoe de beheerder vooraf kan gaan aan de machtigingen die u hebt gedeclareerd en de beste ervaring biedt voor uw gebruikers en tenantbeheerders.

Het aanvragen van beheerderstoestemming is een uitstekende keuze voor LOB-apps (Line-Of-Business), met name de apps die uw organisatie ontwikkelt. Het is eenvoudiger om uw gebruiker niet te vragen of uw bedrijf toegang heeft tot de gegevens van uw bedrijf door deze toepassingen vooraf te koppelen. U doet de aanvraag voor beheerderstoestemming als onderdeel van het registratieproces van uw app.

Volgende stappen

• U kunt autorisatie verkrijgen voor toegang tot resources om te begrijpen hoe u Zero Trust het beste kunt garanderen bij het verkrijgen van machtigingen voor toegang tot resources voor uw toepassing.
• API Protection beschrijft aanbevolen procedures voor het beveiligen van uw API via registratie, het definiëren van machtigingen en toestemming en het afdwingen van toegang om uw Zero Trust-doelstellingen te bereiken.
• Met best practices voor autorisatie kunt u de beste autorisatie-, machtigings- en toestemmingsmodellen voor uw toepassingen implementeren.
• Tokens aanpassen beschrijft de informatie die u kunt ontvangen in Microsoft Entra-tokens. In dit artikel wordt uitgelegd hoe u tokens aanpast om de flexibiliteit en controle te verbeteren en tegelijkertijd de beveiliging van nul vertrouwensrelaties met minimale bevoegdheden te verhogen.
• Overzicht van machtigingen en toestemming in het Microsoft Identity Platform helpt u de basisconcepten van toegang en autorisatie te begrijpen.
• Overzicht van toestemming en machtigingen helpt u basisconcepten en scenario's te leren over toestemming en machtigingen in Microsoft Entra ID.
• Learn-module: Machtigingen en toestemmingsframework helpt u bij het leren van machtigingen en toestemmingsframeworkmodellen.
• Learn Live: Microsoft Identity: Permissions and Consent Framework helpt u bij het leren van de basisprincipes van Microsoft-identiteiten, waaronder tokens, accounttypen en topologieën.