Omówienie zgody i uprawnień

W tym artykule poznasz podstawowe pojęcia i scenariusze dotyczące zgody i uprawnień w usłudze Azure Active Directory (Azure AD).

Zgoda to proces, w którym użytkownicy mogą udzielić aplikacji uprawnień dostępu do chronionego zasobu. Aby wskazać wymagany poziom dostępu, aplikacja żąda wymaganych uprawnień interfejsu API. Na przykład aplikacja może zażądać uprawnień, aby wyświetlić profil zalogowanego użytkownika i odczytać zawartość skrzynki pocztowej użytkownika.

Zgodę można inicjować na różne sposoby. Na przykład użytkownicy mogą być monitowani o zgodę podczas próby zalogowania się do aplikacji po raz pierwszy. W zależności od wymaganych uprawnień niektóre aplikacje mogą wymagać, aby administrator był tym, który udziela zgody.

Użytkownik może autoryzować aplikację w celu uzyskania dostępu do niektórych danych w chronionym zasobie, działając jako ten użytkownik. Uprawnienia, które zezwalają na dostęp tego typu, są nazywane "uprawnieniami delegowanymi".

Zgoda użytkownika jest zwykle inicjowana, gdy użytkownik loguje się do aplikacji. Po podaniu poświadczeń logowania użytkownik jest sprawdzany, czy zgoda została już udzielona. Jeśli nie istnieje żaden poprzedni rekord zgody użytkownika lub administratora na wymagane uprawnienia, użytkownik jest kierowany do okna monitu o zgodę w celu udzielenia aplikacji żądanych uprawnień.

Zgoda użytkownika przez nieadministratorów jest możliwa tylko w organizacjach, w których zgoda użytkownika jest dozwolona dla aplikacji i dla zestawu uprawnień wymaganych przez aplikację. Jeśli zgoda użytkownika jest wyłączona lub jeśli użytkownicy nie mogą wyrazić zgody na żądane uprawnienia, nie będą monitowani o zgodę. Jeśli użytkownicy mogą wyrazić zgodę i akceptują żądane uprawnienia, zgoda jest rejestrowana i zwykle nie muszą ponownie wyrazić zgody na przyszłe logowania do tej samej aplikacji.

Użytkownicy kontrolują swoje dane. Administrator uprzywilejowany może skonfigurować, czy użytkownicy niebędący administratorami mogą udzielić użytkownikowi zgody na aplikację. To ustawienie może uwzględniać aspekty aplikacji i wydawcy aplikacji oraz żądane uprawnienia.

Jako administrator możesz wybrać, czy zgoda użytkownika jest dozwolona. Jeśli zdecydujesz się zezwolić na zgodę użytkownika, możesz również wybrać warunki, które należy spełnić, zanim aplikacja będzie mogła wyrazić zgodę na użytkownika.

Wybierając zasady zgody aplikacji stosowane dla wszystkich użytkowników, można ustawić limity, kiedy użytkownicy mogą udzielić zgody na aplikacje i kiedy będą musieli zażądać przeglądu i zatwierdzenia przez administratora. Witryna Azure Portal udostępnia następujące wbudowane opcje:

  • Możesz wyłączyć zgodę użytkownika. Użytkownicy nie mogą udzielać uprawnień do aplikacji. Użytkownicy nadal logują się do aplikacji, na które wcześniej wyrazili zgodę lub do aplikacji, do których administratorzy wyrazili zgodę w ich imieniu, ale nie będą mogli wyrazić zgody na nowe uprawnienia do aplikacji samodzielnie. Tylko użytkownicy, którzy otrzymali rolę katalogu, która obejmuje uprawnienie do udzielania zgody, mogą wyrazić zgodę na nowe aplikacje.

  • Użytkownicy mogą wyrazić zgodę na aplikacje od zweryfikowanych wydawców lub organizacji, ale tylko dla wybranych uprawnień. Wszyscy użytkownicy mogą wyrazić zgodę tylko na aplikacje opublikowane przez zweryfikowanego wydawcę i aplikacje zarejestrowane w dzierżawie. Użytkownicy mogą wyrazić zgodę tylko na uprawnienia sklasyfikowane jako niskie. Musisz sklasyfikować uprawnienia , aby wybrać uprawnienia, do których użytkownicy mogą wyrazić zgodę.

  • Użytkownicy mogą wyrazić zgodę na wszystkie aplikacje. Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji.

W przypadku większości organizacji jedna z wbudowanych opcji będzie odpowiednia. Niektórzy zaawansowani klienci mogą chcieć mieć większą kontrolę nad warunkami, które określają, kiedy użytkownicy mogą wyrazić zgodę. Ci klienci mogą tworzyć niestandardowe zasady zgody aplikacji i konfigurować te zasady w celu zastosowania do zgody użytkownika.

Podczas wyrażania zgody administratora administrator uprzywilejowany może udzielić aplikacji dostępu w imieniu innych użytkowników (zwykle w imieniu całej organizacji). Ponadto podczas wyrażania zgody przez administratora aplikacje lub usługi zapewniają bezpośredni dostęp do interfejsu API, który może być używany przez aplikację, jeśli nie ma zalogowanego użytkownika.

Gdy organizacja kupuje licencję lub subskrypcję dla nowej aplikacji, możesz aktywnie skonfigurować aplikację, aby wszyscy użytkownicy w organizacji mogli z niej korzystać. Aby uniknąć potrzeby zgody użytkownika, administrator może udzielić zgody aplikacji w imieniu wszystkich użytkowników w organizacji.

Gdy administrator udzieli zgody administratora w imieniu organizacji, użytkownicy nie są zwykle monitowani o zgodę dla tej aplikacji. W niektórych przypadkach użytkownik może zostać poproszony o zgodę nawet po udzieleniu zgody przez administratora. Przykładem może być żądanie przez aplikację innego uprawnienia, którego administrator jeszcze nie udzielił.

Udzielanie zgody administratora w imieniu organizacji jest operacją wrażliwą, potencjalnie umożliwiając wydawcy aplikacji dostęp do znaczących części danych organizacji lub uprawnienia do wykonywania wysoce uprzywilejowanych operacji. Przykładami takich operacji może być zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika.

Przed udzieleniem zgody administratora dla całej dzierżawy upewnij się, że ufasz aplikacji i wydawcy aplikacji, aby uzyskać dostęp udzielany. Jeśli nie masz pewności, kto kontroluje aplikację i dlaczego aplikacja żąda uprawnień, nie udzielaj zgody.

Aby uzyskać szczegółowe wskazówki dotyczące udzielania zgody administratora aplikacji, zobacz Ocena żądania zgody administratora dla całej dzierżawy.

Aby uzyskać instrukcje krok po kroku dotyczące udzielania zgody administratora dla całej dzierżawy z witryny Azure Portal, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.

Zamiast udzielać zgody dla całej organizacji, administrator może również użyć interfejsu API programu Microsoft Graph do udzielenia zgody na delegowane uprawnienia w imieniu jednego użytkownika. Aby uzyskać szczegółowy przykład korzystający z programu Microsoft Graph PowerShell, zobacz Udzielanie zgody w imieniu pojedynczego użytkownika przy użyciu programu PowerShell.

Ograniczanie dostępu użytkowników do aplikacji

Dostęp użytkowników do aplikacji może być nadal ograniczony, nawet jeśli udzielono zgody administratora dla całej dzierżawy. Skonfiguruj właściwości aplikacji, aby wymagać przypisania użytkownika w celu ograniczenia dostępu użytkowników do aplikacji. Aby uzyskać więcej informacji, zobacz Metody przypisywania użytkowników i grup.

Aby zapoznać się z szerszym omówieniem, w tym sposobem obsługi innych złożonych scenariuszy, zobacz Używanie usługi Azure AD do zarządzania dostępem do aplikacji.

Przepływ pracy zgody administratora umożliwia użytkownikom żądanie zgody administratora dla aplikacji, gdy nie mogą wyrazić zgody na siebie. Po włączeniu przepływu pracy zgody administratora użytkownicy są prezentowani z oknem "Wymagane zatwierdzenie" w celu żądania zatwierdzenia przez administratora dostępu do aplikacji.

Po przesłaniu przez użytkowników żądania zgody administratora administratorzy, którzy zostali wyznaczeni jako recenzenci, otrzymają powiadomienie. Użytkownicy są powiadamiani po tym, jak recenzent działał na ich żądanie. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania przepływu pracy zgody administratora przy użyciu witryny Azure Portal, zobacz Konfigurowanie przepływu pracy zgody administratora.

Po włączeniu przepływu pracy zgody administratora użytkownicy mogą zażądać zatwierdzenia przez administratora aplikacji, do której nie ma autoryzacji. Poniżej przedstawiono kroki opisane w procesie:

  1. Użytkownik próbuje zalogować się do aplikacji.
  2. Zostanie wyświetlony komunikat "Wymagane zatwierdzenie". Użytkownik wpisze uzasadnienie konieczności uzyskania dostępu do aplikacji, a następnie wybierze pozycję "Żądanie zatwierdzenia".
  3. Komunikat "Wysłane żądanie" potwierdza, że żądanie zostało przesłane do administratora. Jeśli użytkownik wyśle kilka żądań, do administratora zostanie przesłane tylko pierwsze żądanie.
  4. Użytkownik otrzymuje powiadomienie e-mail, gdy żądanie zostanie zatwierdzone, odrzucone lub zablokowane.

Następne kroki