Azure Active Directory 中的使用者與管理員同意

在此文章中,您將了解 Azure Active Directory (Azure AD) 中有關使用者與管理員同意的基本概念和案例。

同意是一道程序,可讓使用者為應用程式授與存取受保護資源的權限。 為了指出所需的存取層級,應用程式會要求所需的 API 權限。 例如,應用程式可以要求權限以查看已登入使用者的設定檔,並讀取使用者信箱的內容。

可透過各種方式起始同意。 例如,使用者第一次嘗試登入應用程式時,可能會收到同意提示。 依據某些應用程式所需的權限,其可能需要系統管理員授與同意。

使用者可以授權應用程式存取受保護資源上的某些資料,同時擔任該使用者。 允許此存取類型的權限稱為「委派權限」。

使用者同意通常會在使用者登入應用程式時起始。 使用者提供登入認證之後,會針對這些認證進行檢查,以判斷是否已授與同意。 若沒有所需權限之使用者或管理員同意的先前記錄,則會將使用者導向至 [同意提示] 視窗,以授與所要求的權限給應用程式。

非管理員的使用者同意僅適用於應用程式允許使用者同意的組織,以及應用程式需要的一組權限。 若已停用使用者同意,或若不允許使用者同意所要求的權限,則皆不會收到同意的提示。 若允許使用者同意,並且其接受所要求的權限,則會記錄同意,而且通常在未來登入相同的應用程式時,不需要再次同意。

使用者可以控制其資料。 具有特殊權限的系統管理員可以設定是否允許非管理員使用者授與使用者同意給應用程式。 此設定可以考慮應用程式的帳戶層面與應用程式的發行者,以及所要求的權限。

作為系統管理員,您可以選擇是否允許使用者同意。 若您選擇允許使用者同意,則也可以選擇必須先符合哪些條件,使用者才能同意應用程式。

藉由選擇適用於所有使用者的應用程式同意原則,您可以設定當允許使用者授與同意給應用程式時,以及當需要使用者要求系統管理員檢閱及核准時的限制。 Azure 入口網站提供下列內建選項:

  • 您可以停用使用者同意。 使用者無法授與權限給應用程式。 使用者會繼續登入先前已同意的應用程式,或系統管理員已代表其授與同意的應用程式,但不允許他們自行同意應用程式的新權限。 只有已授與目錄角色 (包括授與同意的權限) 的使用者,才可以同意新的應用程式。

  • 使用者可以同意來自已驗證發行者或您組織的應用程式,但僅適用於您選取的權限。 所有使用者都僅可同意由已驗證發行者與在您租用戶中註冊的應用程式所發佈應用程式。 使用者僅可同意您已分類為低影響的權限。 您必須分類權限,以選取允許使用者同意的權限。

  • 使用者可以同意所有應用程式。 此選項可讓所有使用者針對任何應用程式同意不需要管理員同意的任何權限。

對於大部分的組織而言,會有其中一個適當的內建選項。 某些進階客戶可能想要更充分地掌控控制何時允許使用者同意的條件。 這些客戶可以建立自訂應用程式同意原則,並設定將這些原則套用至使用者同意。

在管理員同意期間,具有特殊權限的系統管理員可以代表其他使用者 (通常是代表整個組織) 授與應用程式存取權。 此外,在管理員同意期間,應用程式或服務可直接存取 API,其在沒有任何登入的使用者時,可供應用程式使用。

當組織為新的應用程式購買授權或訂閱時,您可能會主動地想要設定該應用程式,以供組織中的所有使用者使用。 為了避免使用者同意的需求,系統管理員可以代表組織中的所有使用者,為應用程式授與同意。

在系統管理員代表組織授與管理員同意之後,使用者通常不會收到同意該應用程式的提示。 在某些情況下,即使系統管理員已授與同意,使用者也可能會收到同意提示。 例如,若應用程式要求系統管理員尚未授與的其他權限,就可能會發生此情況。

代表組織授與管理員同意是具有安全性顧慮的作業,可能會允許應用程式的發行者存取組織資料的重要部分,或執行具有高度權限作業的權限。 這類作業的範例有可能是角色管理、所有信箱或網站的完整存取,以及完整使用者模擬。

在授與全租用戶管理員同意之前,請確定您信任要授與存取層級的應用程式與應用程式發行者。 若您沒有信心了解控制應用程式的人員,以及應用程式要求權限的原因,請勿授與同意。

如需是否要授與應用程式管理員同意的相關逐步指導,請參閱評估全租用戶管理員同意的要求

如需從 Azure 入口網站授與全租用戶管理員同意的逐步指示,請參閱授與全租用戶管理員同意給應用程式

管理員也可以使用 Microsoft Graph API 代表單一使用者授與同意給委派權限,而非為整個組織授與同意。 如需使用 Microsoft Graph PowerShell 的詳細範例,請參閱使用 PowerShell 代表單一使用者授與同意

限制使用者存取應用程式

即使已授與全租用戶管理員同意,仍可以限制使用者存取應用程式。 將應用程式的屬性設定為需要使用者指派,以限制使用者存取應用程式。 如需詳細資訊,請參閱指派使用者和群組的方法

如需更廣泛的概觀 (包括如何處理其他複雜的案例),請參閱使用 Azure AD 進行應用程式存取管理

管理員同意工作流程可讓使用者在不允許應用程式自行同意時,為應用程式要求管理員同意。 當啟用管理員同意工作流程時,使用者會看到要求管理員核准以存取應用程式的 [需要核准] 視窗。

使用者提交管理員同意要求之後,已指定為檢閱者的管理員會收到通知。 而使用者會在檢閱者對其要求採取動作之後收到通知。 如需使用 Azure 入口網站設定管理員同意工作流程的逐步指示,請參閱設定管理員同意工作流程

啟用管理員同意工作流程之後,使用者可以要求管理員核准其未經授權同意的應用程式。 以下是程序的步驟:

  1. 使用者嘗試登入應用程式。
  2. [需要核准] 訊息隨即出現。 使用者鍵入需要存取應用程式的理由,然後選取 [要求核准]。
  3. [要求已傳送] 訊息會確認已將要求提交給管理員。若使用者傳送數個要求,則只會將第一個要求提交給管理員。
  4. 在要求經核准、拒絕或封鎖時,使用者會收到電子郵件通知。

後續步驟