Согласие пользователя и администратора в идентификаторе Microsoft Entra

  • Статья

В этой статье вы узнаете о базовых понятиях и сценариях согласия пользователя и администратора в идентификаторе Microsoft Entra ID.

Согласие — это процесс, в котором пользователи могут предоставить приложению разрешение на доступ к защищенному ресурсу. Чтобы указать требуемый уровень доступа, приложение запрашивает необходимые разрешения API. Например, приложение может запросить разрешение на просмотр профиля пользователя, выполнившего вход, и чтение содержимого его почтового ящика.

Согласие можно инициировать различными способами. Например, у пользователей может быть запрошено согласие при первой попытке входа в приложение. В зависимости от того, какие разрешения необходимы, некоторым приложениям может потребоваться, чтобы администратор предоставлял согласие.

Пользователь может разрешить приложению доступ к некоторым данным на защищенном ресурсе, действуя при этом от имени этого пользователя. Разрешения, которые позволяют такой тип доступа, называются "делегированными разрешениями".

Согласие пользователя обычно инициируется при входе пользователя в приложение. После того как пользователь предоставил учетные данные для входа, они проверяются на предмет того, было ли уже предоставлено согласие. Если предыдущая запись согласия пользователя или администратора на необходимые разрешения отсутствует, пользователь перенаправляется в окно запроса согласия, чтобы предоставить приложению запрошенные разрешения.

Согласие пользователя, не являющегося администратором, возможно только в организациях, где для приложения и для набора разрешений, необходимых для приложения, разрешено согласие пользователя. Если согласие пользователя отключено или если пользователям не разрешено давать согласие на запрошенные разрешения, они не будут получать запрос на согласие. Если пользователям разрешено давать согласие и они принимают запрошенные разрешения, согласие записывается, и им, как правило, не нужно повторно давать согласие при будущих входах в то же приложение.

Пользователи управляют своими данными. Привилегированный администратор может указать, разрешено ли пользователям без прав администратора предоставлять согласие пользователя для приложения. Этот параметр может принимать во внимание аспекты приложения и его издателя, а также запрашиваемые разрешения.

Администратор может указать, разрешено ли пользователю предоставлять согласие. Если вы решите разрешить пользователю предоставлять согласие, вы также можете выбрать, какие условия должны быть выполнены, прежде чем приложение получит согласие от пользователя.

Выбирая, какие политики согласия приложений применяются для всех пользователей, вы можете установить ограничения на то, когда пользователям разрешено предоставлять согласие приложениям, и когда они должны будут запрашивать проверку и одобрение администратора. Центр администрирования Microsoft Entra предоставляет следующие встроенные параметры:

  • Вы можете отключить согласие пользователя. Пользователи не могут предоставлять разрешения для приложений. Пользователи продолжают входить в приложения, для которых они ранее предоставили согласие, или в приложения, для которых администраторы дали согласие от их имени, но они не смогут самостоятельно давать согласие на новые разрешения для приложений. Только пользователи, которым предоставлена роль каталога, включающая разрешение на предоставление согласия, смогут дать согласие для новых приложений.

  • Пользователи могут дать согласие для приложений от проверенных издателей или вашей организации, но только для выбранных вами разрешений. Все пользователи могут дать согласие только для тех приложений, которые были опубликованы проверенным издателем, а также приложений, зарегистрированных в вашем клиенте. Пользователи могут согласиться только на разрешения, отнесенные вами к категории низкого влияния. Необходимо классифицировать разрешения, чтобы выбрать, на какие разрешения пользователи могут предоставлять согласие.

  • Пользователи могут предоставлять согласие для всех приложений. Этот параметр позволяет всем пользователям предоставлять для любого приложения согласие на любое разрешение, которое не требует согласия администратора.

Для большинства организаций подойдет один из встроенных параметров. Некоторым расширенным клиентам может потребоваться больший контроль над условиями, определяющими, когда пользователям разрешено предоставлять согласие. Эти клиенты могут создавать настраиваемую политику согласия для приложений и настраивать эти политики для применения к согласию пользователей.

Во время согласия администратора привилегированный администратор может предоставить доступ к приложению от имени других пользователей (обычно от имени всей организации). Кроме того, во время согласия администратора приложения или службы предоставляют прямой доступ к API, который может использоваться приложением, если пользователь не вошел в него. Определенная роль, необходимая для предоставления согласия администратора, отличается в зависимости от запрошенных разрешений, которые описаны в статье о предоставлении согласия администратора.

Когда ваша организация приобретает лицензию или подписку для нового приложения, вы можете заранее настроить приложение таким образом, чтобы все пользователи в организации могли его использовать. Чтобы избежать необходимости в согласии пользователей, администратор может предоставить согласие для приложения от имени всех пользователей в организации.

После того как администратор предоставит согласие администратора от имени организации, пользователям обычно не предлагается предоставить согласие для этого приложения. В некоторых случаях у пользователя может быть запрошено согласие даже после того, как согласие было предоставлено администратором. Например, если приложение запрашивает другое разрешение, которое администратор еще не предоставил.

Предоставление согласия администратора от имени организации — это конфиденциальная операция, позволяющая издателю приложения получать доступ к значительной части данных организации или разрешение на выполнение операций с высоким уровнем привилегий. Примерами таких операций могут быть управление ролями, полный доступ ко всем почтовым ящикам или всем сайтам, а также полное олицетворение пользователя.

Прежде чем предоставлять согласие администратора на уровне клиента, необходимо убедиться в доверии приложению и его издателю для того уровня доступа, который вы предоставляете. Если у вас нет полного понимания, кто управляет приложением и для чего ему нужны запрашиваемые разрешения, не предоставляйте согласие.

Пошаговое руководство по предоставлению согласия администратора для приложения см. в разделе Оценка запроса согласия администратора на уровне клиента.

Пошаговые инструкции по предоставлению согласия администратора на уровне клиента из Центра администрирования Microsoft Entra см. в статье Предоставление согласия администратора на уровне клиента приложению.

Вместо предоставления согласия для всей организации администратор может через API Microsoft Graph предоставлять согласие на делегированные разрешения от имени отдельного пользователя. Подробное описание примера использования Microsoft Graph Powershell см. в разделе о предоставлении согласия от имени одного пользователя с помощью Powershell.

Ограничение доступа пользователя к приложению

Доступ пользователей к приложениям по-прежнему можно ограничить, даже после предоставления согласия администратора на уровне клиента. Настройте свойства приложения на требование назначения пользователя для ограничения его доступа к приложению. Подробнее см. статью Методы назначения пользователей и групп.

Более широкий обзор, включая способы обработки других сложных сценариев, см. в статье Об использовании идентификатора Microsoft Entra для управления доступом к приложениям.

Рабочий процесс получения согласия администратора дает пользователям возможность запрашивать согласие администратора для приложений, когда они сами не имеют права давать согласие. Если включен рабочий процесс получения согласия администратора, пользователям отображается окно "Требуется утверждение" для запроса утверждения администратором на доступ к приложению.

После того как пользователи отправляют запрос на согласие администратора, администраторы, назначенные в качестве рецензентов, получают уведомление. Пользователи получают уведомления после того, как рецензент отреагирует на их запрос. Пошаговые инструкции по настройке рабочего процесса согласия администратора с помощью Центра администрирования Microsoft Entra см. в разделе "Настройка рабочего процесса согласия администратора".

После включения рабочего процесса на предоставление согласия администратора пользователи смогут запрашивать такое согласие для использование приложений, согласие на доступ к которым они не могут предоставить. Ниже приведены действия, описанные в этом процессе.

  1. Пользователь пытается войти в приложение.
  2. Появится требуемое сообщение об утверждении. Пользователь указывает обоснование потребности в доступе к приложению и нажимает кнопку "Запросить утверждение".
  3. Сообщение Запрос отправлен подтверждает, что запрос передан администратору. Если пользователь отправляет несколько одинаковых запросов, администратору передается только первый из них.
  4. Пользователь получает по электронной почте уведомление о том, что запрос утвержден, отклонен или заблокирован.

Следующие шаги