Microsoft Entra 識別碼中的使用者和系統管理員同意

在本文中,您將瞭解 Microsoft Entra 識別碼中使用者和系統管理員同意的基本概念和案例。

同意是使用者可以授與應用程式存取受保護資源的許可權的程式。 若要指出所需的存取層級,應用程式會要求所需的 API 許可權。 例如,應用程式可以要求許可權來查看登入使用者的設定檔,並讀取使用者信箱的內容。

同意可以透過各種方式起始。 例如,當使用者第一次嘗試登入應用程式時,可能會提示使用者同意。 根據他們所需的許可權,某些應用程式可能需要系統管理員成為授與同意者。

使用者可以授權應用程式存取受保護資源上的某些資料,同時做為該使用者。 允許此類型存取的許可權稱為「委派許可權」。

當使用者登入應用程式時,通常會起始使用者同意。 在使用者提供登入認證之後,系統會檢查他們是否已經授與同意。 如果先前沒有使用者或系統管理員同意的必要許可權記錄存在,系統會將使用者導向至同意提示視窗,以授與應用程式所要求的許可權。

非系統管理員的使用者同意只能在允許應用程式的使用者同意,以及應用程式所需的許可權集合的組織中才可行。 如果停用使用者同意,或不允許使用者同意要求的許可權,則不會提示他們同意。 如果允許使用者同意並接受要求的許可權,則會記錄同意,而且他們通常不需要在未來的登入時再次同意相同的應用程式。

使用者可控制其資料。 Privileged 管理員istrator 可以設定是否允許使用者同意應用程式。 此設定可以考慮應用程式與應用程式發行者的層面,以及所要求的許可權。

身為系統管理員,您可以選擇是否允許使用者同意。 如果您選擇允許使用者同意,您也可以選擇使用者同意應用程式之前必須符合哪些條件。

藉由選擇哪些應用程式同意原則適用于所有使用者,您可以設定允許使用者授與同意給應用程式的限制,以及要求系統管理員檢閱和核准時的限制。 Microsoft Entra 系統管理中心提供下列內建選項:

  • 您可以停用使用者同意 。 使用者無法將許可權授與應用程式。 使用者會繼續登入他們先前同意的應用程式或系統管理員已代表他們授與同意的應用程式,但不允許他們自行同意應用程式的新許可權。 只有已獲授與目錄角色且包含授與同意許可權的使用者,才能同意新的應用程式。

  • 使用者可以同意來自已驗證發行者或貴組織的應用程式,但僅限於您選取 的許可權。 所有使用者只能同意已 驗證發行者 所發行的應用程式,以及已在租使用者中註冊的應用程式。 使用者只能同意您分類為 低影響 的許可權。 您必須 將許可權 分類,以選取允許使用者同意的許可權。

  • 使用者可以同意所有應用程式 。 此選項可讓所有使用者同意任何應用程式不需要系統管理員同意的許可權。

對大多陣列織而言,其中一個內建選項會是適當的。 某些進階客戶可能會想要更充分掌控允許使用者同意時所控管的條件。 這些客戶可以 建立自訂應用程式同意原則 ,並設定這些原則以套用至使用者同意。

在管理員同意期間,Privileged 管理員istrator 可能會代表其他使用者授與應用程式存取權(通常是代表整個組織)。 此外,在管理員同意期間,應用程式或服務也會提供 API 的直接存取權,如果沒有任何登入的使用者,應用程式可以使用此 API。 授與管理員同意所需的特定角色會根據所要求的許可權而有所不同,如授與管理員同意 一文中所述

當您的組織購買新應用程式的授權或訂用帳戶時,您可能會主動想要設定應用程式,讓組織中的所有使用者都可以使用它。 若要避免使用者同意的需求,系統管理員可以代表組織中的所有使用者授與應用程式的同意。

系統管理員代表組織授與系統管理員同意之後,通常不會提示使用者同意該應用程式。 在某些情況下,即使系統管理員授與同意之後,使用者仍可能會提示您同意。 例如,如果應用程式要求系統管理員尚未授與的另一個許可權,

代表組織授與系統管理員同意是一項敏感性作業、可能允許應用程式的發行者存取組織資料的重要部分,或許可權執行高度特殊許可權的作業。 這類作業的範例可能是角色管理、所有信箱或所有網站的完整存取權,以及完整使用者模擬。

在授與全租使用者系統管理員同意之前,請確定您信任應用程式和應用程式發行者,以取得您授與的存取層級。 如果您不確定您瞭解誰控制應用程式,以及應用程式要求許可權的原因,請勿 授與同意。

如需是否授與應用程式管理員同意的逐步指引,請參閱 評估全租使用者管理員同意 的要求。

如需從 Microsoft Entra 系統管理中心授與全租使用者系統管理員同意的逐步指示,請參閱 將全租使用者管理員同意授與應用程式

系統管理員也可以使用 Microsoft Graph API 代表單一使用者授與委派許可權,而不是授與整個組織的同意。 如需使用 Microsoft Graph PowerShell 的詳細範例,請參閱 使用 PowerShell 代表單一使用者授與同意。

限制使用者對應用程式的存取

即使已授與整個租使用者管理員同意,使用者對應用程式的存取仍會受到限制。 將應用程式的屬性設定為要求使用者指派,以限制使用者對應用程式的存取。 如需詳細資訊,請參閱 指派使用者和群組 的方法。

如需更廣泛的概觀,包括如何處理其他複雜案例,請參閱 使用 Microsoft Entra ID 進行應用程式存取管理

系統管理員同意工作流程可讓使用者在不允許自己同意時,向應用程式要求管理員同意。 啟用管理員同意工作流程時,使用者會看到「需要核准」視窗,要求系統管理員核准以存取應用程式。

在使用者提交管理員同意要求之後,已指定為檢閱者的系統管理員會收到通知。 在檢閱者對其要求採取行動之後,使用者會收到通知。 如需使用 Microsoft Entra 系統管理中心設定管理員同意工作流程的逐步指示,請參閱 設定管理員同意工作流程

啟用管理員同意工作流程之後,使用者可以要求系統管理員核准他們未經授權同意的應用程式。 以下是程式中的步驟:

  1. 使用者嘗試登入應用程式。
  2. [ 核准所需的 訊息] 隨即出現。 使用者輸入需要應用程式存取權的理由,然後選取 [要求核准]。
  3. 要求 傳送 的訊息會確認要求已提交給系統管理員。如果使用者傳送數個要求,則只會將第一個要求提交給系統管理員。
  4. 使用者會在核准、拒絕或封鎖要求時收到電子郵件通知。

下一步