Zgoda użytkownika i administratora w identyfikatorze Entra firmy Microsoft

  • Artykuł

W tym artykule poznasz podstawowe pojęcia i scenariusze dotyczące zgody użytkownika i administratora w usłudze Microsoft Entra ID.

Zgoda to proces, w którym użytkownicy mogą udzielić aplikacji uprawnień dostępu do chronionego zasobu. Aby wskazać wymagany poziom dostępu, aplikacja żąda wymaganych uprawnień interfejsu API. Na przykład aplikacja może zażądać uprawnienia do wyświetlenia profilu zalogowanego użytkownika i odczytania zawartości skrzynki pocztowej użytkownika.

Zgoda może być inicjowana na różne sposoby. Na przykład użytkownicy mogą być monitowani o zgodę podczas próby zalogowania się do aplikacji po raz pierwszy. W zależności od wymaganych uprawnień niektóre aplikacje mogą wymagać, aby administrator był tym, który udziela zgody.

Użytkownik może autoryzować aplikację w celu uzyskania dostępu do niektórych danych w chronionym zasobie, działając jako ten użytkownik. Uprawnienia zezwalające na dostęp tego typu są nazywane "uprawnieniami delegowanymi".

Zgoda użytkownika jest zwykle inicjowana, gdy użytkownik loguje się do aplikacji. Po podaniu poświadczeń logowania użytkownik jest sprawdzany, czy zgoda została już udzielona. Jeśli nie istnieje żaden poprzedni rekord zgody użytkownika lub administratora na wymagane uprawnienia, użytkownik jest kierowany do okna monitu o wyrażenie zgody w celu udzielenia aplikacji żądanych uprawnień.

Zgoda użytkownika przez innych administratorów jest możliwa tylko w organizacjach, w których zgoda użytkownika jest dozwolona dla aplikacji i dla zestawu uprawnień wymaganych przez aplikację. Jeśli zgoda użytkownika jest wyłączona lub użytkownicy nie mogą wyrazić zgody na żądane uprawnienia, nie będą monitowani o zgodę. Jeśli użytkownicy mogą wyrazić zgodę i akceptują żądane uprawnienia, zgoda jest rejestrowana i zwykle nie muszą ponownie wyrazić zgody na przyszłe logowania do tej samej aplikacji.

Użytkownicy mają kontrolę nad swoimi danymi. Uprzywilejowany Administracja istrator może skonfigurować, czy użytkownicy niebędący administratorami mogą udzielać zgody użytkownika na aplikację. To ustawienie może uwzględniać aspekty aplikacji i wydawcy aplikacji oraz żądane uprawnienia.

Jako administrator możesz wybrać, czy zgoda użytkownika jest dozwolona. Jeśli zdecydujesz się zezwolić na zgodę użytkownika, możesz również wybrać warunki, które muszą zostać spełnione, zanim użytkownik wyrazi zgodę na aplikację.

Wybierając, które zasady zgody aplikacji mają zastosowanie dla wszystkich użytkowników, możesz ustawić limity dotyczące tego, kiedy użytkownicy mogą udzielać zgody aplikacjom i kiedy będą musieli zażądać przeglądu i zatwierdzenia przez administratora. Centrum administracyjne firmy Microsoft Entra udostępnia następujące wbudowane opcje:

  • Możesz wyłączyć zgodę użytkownika. Użytkownicy nie mogą udzielać uprawnień aplikacjom. Użytkownicy nadal logują się do aplikacji, na które wcześniej wyrazili zgodę lub na aplikacje, na które administratorzy wyrazili zgodę w ich imieniu, ale nie będą mogli wyrazić zgody na nowe uprawnienia do aplikacji samodzielnie. Tylko użytkownicy, którzy otrzymali rolę katalogu, która zawiera uprawnienie do udzielania zgody, mogą wyrazić zgodę na nowe aplikacje.

  • Użytkownicy mogą wyrazić zgodę na aplikacje od zweryfikowanych wydawców lub organizacji, ale tylko dla wybranych uprawnień. Wszyscy użytkownicy mogą wyrazić zgodę tylko na aplikacje opublikowane przez zweryfikowanego wydawcę i aplikacje zarejestrowane w dzierżawie. Użytkownicy mogą wyrazić zgodę tylko na uprawnienia sklasyfikowane jako niskie. Musisz sklasyfikować uprawnienia , aby wybrać uprawnienia, do których użytkownicy mogą wyrazić zgodę.

  • Użytkownicy mogą wyrazić zgodę na wszystkie aplikacje. Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji.

W przypadku większości organizacji jedna z wbudowanych opcji będzie odpowiednia. Niektórzy zaawansowani klienci mogą chcieć mieć większą kontrolę nad warunkami, które określają, kiedy użytkownicy mogą wyrazić zgodę. Ci klienci mogą tworzyć niestandardowe zasady zgody aplikacji i konfigurować te zasady w celu zastosowania w celu wyrażenia zgody użytkownika.

Podczas wyrażania zgody administratora administrator Administracja istrator może udzielić dostępu aplikacji w imieniu innych użytkowników (zwykle w imieniu całej organizacji). Ponadto podczas wyrażania zgody administratora aplikacje lub usługi zapewniają bezpośredni dostęp do interfejsu API, który może być używany przez aplikację, jeśli nie ma zalogowanego użytkownika. Określona rola wymagana do udzielenia zgody administratora różni się w zależności od żądanych uprawnień, które opisano w artykule dotyczącym udzielania zgody administratora.

Gdy organizacja kupuje licencję lub subskrypcję dla nowej aplikacji, możesz aktywnie chcieć skonfigurować aplikację, aby wszyscy użytkownicy w organizacji mogli z niej korzystać. Aby uniknąć potrzeby wyrażania zgody przez użytkownika, administrator może udzielić zgody aplikacji w imieniu wszystkich użytkowników w organizacji.

Gdy administrator udzieli zgody administratora w imieniu organizacji, użytkownicy nie są zwykle monitowani o zgodę dla tej aplikacji. W niektórych przypadkach użytkownik może zostać poproszony o zgodę nawet po udzieleniu zgody przez administratora. Przykładem może być żądanie przez aplikację innego uprawnienia, którego administrator jeszcze nie udzielił.

Udzielanie zgody administratora w imieniu organizacji jest operacją wrażliwą, co potencjalnie umożliwia wydawcy aplikacji dostęp do znaczących części danych organizacji lub uprawnienia do wykonywania wysoce uprzywilejowanych operacji. Przykładami takich operacji może być zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika.

Przed udzieleniem zgody administratora dla całej dzierżawy upewnij się, że ufasz aplikacji i wydawcy aplikacji, aby uzyskać dostęp udzielany. Jeśli nie masz pewności, kto kontroluje aplikację i dlaczego aplikacja żąda uprawnień, nie udzielaj zgody.

Aby uzyskać szczegółowe wskazówki dotyczące udzielania zgody administratora aplikacji, zobacz Ocena żądania zgody administratora dla całej dzierżawy.

Aby uzyskać instrukcje krok po kroku dotyczące udzielania zgody administratora dla całej dzierżawy z centrum administracyjnego firmy Microsoft Entra, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.

Zamiast udzielać zgody dla całej organizacji, administrator może również użyć interfejsu API programu Microsoft Graph, aby udzielić zgody na delegowane uprawnienia w imieniu pojedynczego użytkownika. Aby uzyskać szczegółowy przykład korzystający z programu Microsoft Graph PowerShell, zobacz Udzielanie zgody w imieniu pojedynczego użytkownika przy użyciu programu PowerShell.

Ograniczanie dostępu użytkowników do aplikacji

Dostęp użytkowników do aplikacji może być nadal ograniczony, nawet jeśli udzielono zgody administratora dla całej dzierżawy. Skonfiguruj właściwości aplikacji, aby wymagać przypisania użytkownika w celu ograniczenia dostępu użytkowników do aplikacji. Aby uzyskać więcej informacji, zobacz Metody przypisywania użytkowników i grup.

Aby zapoznać się z szerszym omówieniem, w tym sposobem obsługi innych złożonych scenariuszy, zobacz Use Microsoft Entra ID for application access management (Używanie identyfikatora Entra firmy Microsoft do zarządzania dostępem do aplikacji).

Przepływ pracy zgody administratora umożliwia użytkownikom żądanie zgody administratora dla aplikacji, gdy nie mogą wyrazić zgody na siebie. Po włączeniu przepływu pracy zgody administratora użytkownicy otrzymują okno "Wymagane zatwierdzenie" w celu żądania zatwierdzenia przez administratora w celu uzyskania dostępu do aplikacji.

Po przesłaniu przez użytkowników żądania zgody administratora administratorzy, którzy zostali wyznaczeni jako recenzenci, otrzymają powiadomienie. Użytkownicy są powiadamiani po tym, jak recenzent podjął działania na żądanie. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania przepływu pracy zgody administratora przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Konfigurowanie przepływu pracy zgody administratora.

Po włączeniu przepływu pracy zgody administratora użytkownicy mogą zażądać zatwierdzenia przez administratora aplikacji, do której nie mają autoryzacji. Poniżej przedstawiono kroki procesu:

  1. Użytkownik próbuje zalogować się do aplikacji.
  2. Zostanie wyświetlony komunikat Wymagany zatwierdzenie. Użytkownik wpisze uzasadnienie potrzeby uzyskania dostępu do aplikacji, a następnie wybierze pozycję "Żądanie zatwierdzenia".
  3. Wysłana wiadomość z żądaniem potwierdza, że żądanie zostało przesłane do administratora. Jeśli użytkownik wysyła kilka żądań, tylko pierwsze żądanie zostanie przesłane do administratora.
  4. Użytkownik otrzymuje powiadomienie e-mail, gdy żądanie zostanie zatwierdzone, odrzucone lub zablokowane.

Następne kroki