登入應用程式時看到非預期的同意提示
許多與 Microsoft Entra ID 整合的應用程式都需要各種資源的權限才能執行。 當這些資源也與 Microsoft Entra ID 整合時,會使用 Microsoft Entra 同意架構來要求存取資源的權限。 這些要求會導致第一次使用應用程式時一直顯示同意提示,但這通常是一次性作業。
在某些情況下,當使用者嘗試登入時,可能會出現其他同意提示。 在本文中,我們將診斷出現非預期同意提示的原因,以及如何進行疑難排解。
使用者會看到同意提示的案例
進一步提示預期會在各種案例中出現:
應用程式已設定為需要指派。 需要指派的應用程式目前不支援個別使用者同意; 因此,整個目錄的系統管理員必須授與權限。 如果您將應用程式設定為需要指派,請務必同時授與整個租用戶的管理員同意,讓獲指派的使用者可以登入。
應用程式所需的權限集已由開發人員變更,因此必須重新授與。
原本同意應用程式的使用者不是管理員,且現在有不同的使用者 (非管理員) 正首次使用此應用程式。
原本同意應用程式的使用者為管理員,但他們並未代表整個組織同意。
在初步獲得同意後,應用程式正在使用增量和動態同意要求進一步權限。 通常使用增量和動態同意的時機為應用程式的選用功能所需權限超出基礎功能所需權限。
在初步獲得同意後,同意遭到撤銷。
開發人員已設定應用程式在每次使用時都要求同意提示 (注意:此行為不是最佳做法)。
注意
遵循 Microsoft 的建議和最佳做法,許多組織都已停用或限制使用者授與應用程式同意的權限。 如果應用程式強制使用者在每次登入時都授與同意,即使系統管理員授與整個租用戶的系統管理員同意,大部分的使用者都會遭到封鎖而無法使用這些應用程式。 如果即使在授與系統管理員同意之後,仍遇到應用程式要求使用者同意,請向應用程式發行者確認是否有設定或選項,會在使用者每次登入時阻止強制使用者同意。
提示
根據您開始的入口網站不同,適用本文中的步驟可能略有不同。
疑難排解步驟
比較針對應用程式要求和授與的權限
若要確保針對應用程式授與的權限是最新的,您可以將應用程式所要求的權限與已在租用戶中授與的權限進行比較。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[所有應用程式]。
- 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
- 在左側導覽的 [安全性] 底下,選擇 [權限]
- 從 [權限] 頁面上的資料表檢視已授與權限的清單
- 若要檢視所要求的權限,請選取 [授與管理員同意] 按鈕。 這會開啟同意提示列表,其中列出所有要求的權限。 除非您確定要授與全租用戶系統管理員同意,否則請勿在同意提示上選取 [接受]。
- 在同意提示內,展開列出的權限,並與權限頁面上的資料表進行比較。 若有任何權限呈現在同意提示中,但未呈現在權限頁面中,則表示尚未同意該權限。 未同意的權限可能是針對應用程式顯示非預期同意提示的原因。
檢視使用者指派設定
如果應用程式需要指派,個別使用者無法自行同意。 若要檢查應用程式是否需要指派,請執行下列動作:
- 在應用程式的頁面上,選取 [管理] 底下的 [屬性]。
- 查看 [需要指派?] 是否設定為 [是]。
- 如果設定為 [是],則管理員必須代表整個組織同意權限。
檢閱全租用戶同意設定
判斷個別使用者是否同意每個組織可以設定應用程式,而且可能因目錄而有所不同。 即使每個權限預設不需要管理員同意,您的組織仍可能已完全停用使用者同意,以防止個別使用者自行同意應用程式。 若要檢視貴組織的使用者同意設定,請執行下列動作:
- 瀏覽至 Microsoft Entra 系統管理中心的 Enterprise 應用程式頁面。
- 在 [安全性] 下,選擇 [同意和權限]。
- 檢視使用者同意設定。 如果設定為 [不允許使用者同意],使用者將永遠無法代表自己同意應用程式。