Användar- och administratörsmedgivande i Microsoft Entra-ID

  • Artikel

I den här artikeln får du lära dig grundläggande begrepp och scenarier kring användar- och administratörsmedgivande i Microsoft Entra-ID.

Medgivande är en process där användare kan bevilja behörighet för ett program att komma åt en skyddad resurs. För att ange vilken åtkomstnivå som krävs begär ett program de API-behörigheter som krävs. Ett program kan till exempel begära behörighet att se en inloggad användares profil och läsa innehållet i användarens postlåda.

Medgivande kan initieras på olika sätt. Användare kan till exempel uppmanas att ge sitt medgivande när de försöker logga in på ett program för första gången. Beroende på vilka behörigheter de behöver kan vissa program kräva att en administratör är den som beviljar medgivande.

En användare kan auktorisera ett program för att komma åt vissa data på den skyddade resursen, samtidigt som den fungerar som den användaren. De behörigheter som tillåter den här typen av åtkomst kallas "delegerade behörigheter".

Användarens medgivande initieras vanligtvis när en användare loggar in på ett program. När användaren har angett inloggningsuppgifter kontrolleras de för att avgöra om medgivande redan har beviljats. Om det inte finns någon tidigare post med användar- eller administratörsmedgivande för de behörigheter som krävs dirigeras användaren till fönstret medgivandeprompt för att bevilja programmet de begärda behörigheterna.

Användarmedgivande från icke-administratörer är endast möjligt i organisationer där användarens medgivande tillåts för programmet och för den uppsättning behörigheter som programmet kräver. Om användarens medgivande är inaktiverat, eller om användarna inte får samtycka till de begärda behörigheterna, uppmanas de inte att ge sitt medgivande. Om användarna får samtycka och de godkänner de begärda behörigheterna registreras medgivandet och de behöver vanligtvis inte godkänna det igen vid framtida inloggningar till samma program.

Användarna har kontroll över sina data. En privilegierad administratör kan konfigurera om icke-administratörsanvändare får bevilja användaren medgivande till ett program. Den här inställningen kan ta hänsyn till aspekter av programmet och programmets utgivare samt de behörigheter som begärs.

Som administratör kan du välja om användarens medgivande ska tillåtas. Om du väljer att tillåta användarmedgivande kan du också välja vilka villkor som måste uppfyllas innan ett program kan godkännas av en användare.

Genom att välja vilka principer för programmedgivande som gäller för alla användare kan du ange gränser för när användare får bevilja medgivande till program och när de måste begära administratörsgranskning och godkännande. Administrationscentret för Microsoft Entra innehåller följande inbyggda alternativ:

  • Du kan inaktivera användarmedgivande. Användare kan inte bevilja behörigheter till program. Användare fortsätter att logga in på program som de tidigare har samtyckt till eller till program som administratörer har gett sitt medgivande till för deras räkning, men de kommer inte att tillåtas att godkänna nya behörigheter till program på egen hand. Endast användare som har beviljats en katalogroll som innehåller behörighet att bevilja medgivande kan godkänna nya program.

  • Användare kan godkänna program från verifierade utgivare eller din organisation, men bara för behörigheter som du väljer. Alla användare kan endast godkänna program som har publicerats av en verifierad utgivare och program som är registrerade i din klientorganisation. Användare kan bara godkänna de behörigheter som du har klassificerat som låg påverkan. Du måste klassificera behörigheter för att välja vilka behörigheter som användare får samtycka till.

  • Användare kan godkänna alla program. Med det här alternativet kan alla användare godkänna alla behörigheter som inte kräver administratörsmedgivande för något program.

För de flesta organisationer är ett av de inbyggda alternativen lämpligt. Vissa avancerade kunder kanske vill ha mer kontroll över de villkor som styr när användare får samtycka. Dessa kunder kan skapa en anpassad appmedgivandeprincip och konfigurera dessa principer så att de tillämpas på användarens medgivande.

Under administratörsmedgivande kan en privilegierad administratör bevilja ett program åtkomst för andra användares räkning (vanligtvis för hela organisationens räkning). Under administratörsmedgivande ger program eller tjänster också direkt åtkomst till ett API, som kan användas av programmet om det inte finns någon inloggad användare. Den specifika roll som krävs för att bevilja administratörsmedgivande skiljer sig beroende på de behörigheter som begärs, som beskrivs i artikeln bevilja administratörsmedgivande .

När din organisation köper en licens eller prenumeration för ett nytt program kanske du proaktivt vill konfigurera programmet så att alla användare i organisationen kan använda det. För att undvika behovet av användarmedgivande kan en administratör bevilja medgivande för programmet åt alla användare i organisationen.

När en administratör beviljar administratörsmedgivande åt organisationen uppmanas användarna vanligtvis inte att godkänna programmet. I vissa fall kan en användare uppmanas att ge sitt medgivande även efter att medgivande har beviljats av en administratör. Ett exempel kan vara om ett program begär en annan behörighet som administratören inte redan har beviljat.

Att bevilja administratörsmedgivande för en organisations räkning är en känslig åtgärd, vilket kan ge programmets utgivare åtkomst till betydande delar av organisationens data eller behörighet att utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder kan vara rollhantering, fullständig åtkomst till alla postlådor eller alla webbplatser och fullständig användarpersonifiering.

Innan du beviljar administratörsmedgivande för hela klientorganisationen kontrollerar du att du litar på programmet och programutgivaren för den åtkomstnivå som du beviljar. Om du inte är säker på att du förstår vem som styr programmet och varför programmet begär behörigheterna ska du inte bevilja medgivande.

Stegvisa anvisningar för om du vill bevilja ett programadministratörsmedgivande finns i Utvärdera en begäran om administratörsmedgivande för hela klientorganisationen.

Stegvisa instruktioner för att bevilja administratörsmedgivande för hela klientorganisationen från administrationscentret för Microsoft Entra finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.

I stället för att bevilja medgivande för en hel organisation kan en administratör också använda Microsoft Graph-API:et för att bevilja medgivande till delegerade behörigheter för en enskild användares räkning. Ett detaljerat exempel som använder Microsoft Graph PowerShell finns i Bevilja medgivande för en enskild användares räkning med hjälp av PowerShell.

Begränsa användaråtkomst till ett program

Användaråtkomsten till program kan fortfarande begränsas, även när administratörsmedgivande för hela klientorganisationen har beviljats. Konfigurera programmets egenskaper för att kräva användartilldelning för att begränsa användaråtkomsten till programmet. Mer information finns i Metoder för att tilldela användare och grupper.

En bredare översikt, inklusive hur du hanterar andra komplexa scenarier, finns i Använda Microsoft Entra-ID för hantering av programåtkomst.

Arbetsflödet för administratörsmedgivande ger användarna ett sätt att begära administratörsmedgivande för program när de inte får samtycka själva. När arbetsflödet för administratörsmedgivande är aktiverat visas fönstret "Godkännande krävs" för att begära administratörsgodkännande för åtkomst till programmet.

När användarna har skickat begäran om administratörsmedgivande får administratörerna som har utsetts till granskare ett meddelande. Användarna meddelas när en granskare har agerat på deras begäran. Stegvisa anvisningar för hur du konfigurerar arbetsflödet för administratörsmedgivande med hjälp av administrationscentret för Microsoft Entra finns i konfigurera arbetsflödet för administratörsmedgivande.

När arbetsflödet för administratörsmedgivande har aktiverats kan användarna begära administratörsgodkännande för ett program som de inte har behörighet att samtycka till. Här är stegen i processen:

  1. En användare försöker logga in på programmet.
  2. Ett meddelande som krävs för godkännande visas. Användaren skriver en motivering för att behöva åtkomst till programmet och väljer sedan "Begär godkännande".
  3. Ett meddelande om skickad begäran bekräftar att begäran har skickats till administratören. Om användaren skickar flera begäranden skickas endast den första begäran till administratören.
  4. Användaren får ett e-postmeddelande när begäran godkänns, nekas eller blockeras.

Nästa steg