Souhlas uživatele a správce v Microsoft Entra ID
V tomto článku se seznámíte se základními koncepty a scénáři týkajícími se souhlasu uživatele a správce v Microsoft Entra ID.
Souhlas je proces, kdy uživatelé můžou udělit oprávnění pro aplikaci pro přístup k chráněnému prostředku. Aby bylo možné určit požadovanou úroveň přístupu, aplikace požaduje oprávnění rozhraní API, která vyžaduje. Aplikace může například požádat o oprávnění k zobrazení profilu přihlášeného uživatele a čtení obsahu poštovní schránky uživatele.
Souhlas lze zahájit různými způsoby. Uživatelům se například může zobrazit výzva k vyjádření souhlasu při prvním pokusu o přihlášení k aplikaci. V závislosti na oprávněních, která vyžadují, můžou některé aplikace vyžadovat, aby správce byl správcem, který uděluje souhlas.
Souhlas uživatele
Uživatel může autorizovat aplikaci pro přístup k některým datům v chráněném prostředku a současně jednat jako tento uživatel. Oprávnění, která umožňují tento typ přístupu, se nazývají "delegovaná oprávnění".
Souhlas uživatele se zahájí, když se uživatel přihlásí k aplikaci. Jakmile uživatel zadá přihlašovací údaje, zkontroluje se, jestli už je udělený souhlas. Pokud neexistuje žádný předchozí záznam souhlasu uživatele nebo správce pro požadovaná oprávnění, uživatel se přesměruje do okna výzvy k vyjádření souhlasu, aby aplikaci udělila požadovaná oprávnění.
Souhlas uživatele nesprávců je možný jenom v organizacích, kde je pro aplikaci povolený souhlas uživatele a pro sadu oprávnění, která aplikace vyžaduje. Pokud je souhlas uživatele zakázaný nebo pokud uživatelé nemají oprávnění k vyjádření souhlasu s požadovanými oprávněními, nezobrazí se výzva k vyjádření souhlasu. Pokud uživatelé můžou souhlasit a přijmou požadovaná oprávnění, zaznamená se souhlas. Uživatelé obvykle nemusí souhlasit s budoucími přihlášeními ke stejné aplikaci.
Nastavení souhlasu uživatele
Uživatelé mají kontrolu nad svými daty. Privilegovaný správce může nakonfigurovat, jestli mají uživatelé bez oprávnění správce udělit uživateli souhlas s aplikací. Toto nastavení může vzít v úvahu aspekty aplikace a vydavatele aplikace a požadovaná oprávnění.
Jako správce můžete zvolit, jestli je povolený souhlas uživatele. Pokud se rozhodnete povolit souhlas uživatele, můžete také zvolit, jaké podmínky musí být splněny, aby uživatel mohl s aplikací souhlasit.
Když zvolíte, které zásady souhlasu aplikace platí pro všechny uživatele, můžete nastavit omezení, kdy mají uživatelé povoleno udělovat souhlas s aplikacemi. Zásady souhlasu také informují, kdy uživatelé musí požádat správce o kontrolu a schválení. Centrum pro správu Microsoft Entra poskytuje následující integrované možnosti:
Souhlas uživatele můžete zakázat. Uživatelé nemůžou udělovat oprávnění aplikacím. Uživatelé se nadále přihlašují k aplikacím, se kterými už souhlasili, nebo k aplikacím, kterým správci udělují souhlas svým jménem. Nemůžou ale souhlasit s novými oprávněními k aplikacím samostatně. Souhlas s novými aplikacemi můžou udělit jenom uživatelé, kteří mají udělenou roli adresáře, která obsahuje oprávnění k udělení souhlasu.
Uživatelé můžou udělit souhlas s aplikacemi od ověřených vydavatelů nebo vaší organizace, ale jenom pro vámi zvolená oprávnění. Všichni uživatelé můžou souhlasit pouze s aplikacemi publikovanými ověřeným vydavatelem a aplikacemi registrovanými ve vašem tenantovi. Uživatelé můžou souhlasit pouze s oprávněními klasifikovaná jako nízká. Oprávnění musíte klasifikovat , abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění udělit souhlas.
Uživatelé můžou souhlasit se všemi aplikacemi. Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.
Pro většinu organizací je vhodná jedna z předdefinovaných možností. Někteří pokročilí zákazníci můžou chtít mít větší kontrolu nad podmínkami, které se řídí tím, kdy uživatelé můžou souhlasit. Tito zákazníci můžou vytvořit vlastní zásady souhlasu aplikace a nakonfigurovat tyto zásady tak, aby platily pro souhlas uživatele.
Souhlas správce
Během souhlasu správce může privilegovaný správce udělit přístup k aplikaci jménem jiných uživatelů (obvykle jménem celé organizace). Během souhlasu správce poskytují aplikace nebo služby přímý přístup k rozhraní API, které aplikace používá, pokud neexistuje přihlášený uživatel. Konkrétní role potřebná k udělení souhlasu správce se liší v závislosti na požadovaných oprávněních, která jsou popsaná v článku udělení souhlasu správce.
Když vaše organizace zakoupí licenci nebo předplatné pro novou aplikaci, můžete aplikaci proaktivně nastavit tak, aby ji mohli používat všichni uživatelé v organizaci. Aby se zabránilo nutnosti souhlasu uživatele, může správce udělit souhlas pro aplikaci jménem všech uživatelů v organizaci.
Po udělení souhlasu správce jménem organizace se uživatelům nezobrazí výzva k vyjádření souhlasu pro danou aplikaci. V některých případech může být uživatel vyzván k vyjádření souhlasu i po udělení souhlasu správcem. Příkladem může být to, že aplikace požádá o další oprávnění, která správce neudělil.
Udělení souhlasu správce jménem organizace je citlivá operace, která může vydavateli aplikace umožnit přístup k významným částem dat organizace nebo oprávnění k provádění vysoce privilegovaných operací. Příkladem takových operací může být správa rolí, úplný přístup ke všem poštovním schránkám nebo všem webům a úplná zosobnění uživatele.
Než udělíte souhlas správce celého tenanta, ujistěte se, že aplikaci a vydavateli aplikace důvěřujete pro úroveň přístupu, kterou udělujete. Pokud si nejste jisti, že rozumíte tomu, kdo aplikaci řídí a proč aplikace žádá o oprávnění, neudělujte souhlas.
Podrobné pokyny k udělení souhlasu správce aplikace najdete v tématu Vyhodnocení žádosti o souhlas správce v rámci celého tenanta.
Podrobné pokyny k udělení souhlasu správce v rámci celého tenanta z Centra pro správu Microsoft Entra najdete v tématu Udělení souhlasu správce v rámci celého tenanta pro aplikaci.
Udělení souhlasu jménem konkrétního uživatele
Místo udělení souhlasu pro celou organizaci může správce také použít rozhraní Microsoft Graph API k udělení souhlasu delegovaným oprávněním jménem jednoho uživatele. Podrobný příklad, který používá Microsoft Graph PowerShell, najdete v tématu Udělení souhlasu jménem jednoho uživatele pomocí PowerShellu.
Omezení přístupu uživatelů k aplikaci
Přístup uživatelů k aplikacím může být stále omezený, i když už je udělen souhlas správce v rámci celého tenanta. Nakonfigurujte vlastnosti aplikace tak, aby vyžadovaly přiřazení uživatele, aby omezilo uživatelský přístup k aplikaci. Další informace naleznete v tématu Metody pro přiřazování uživatelů a skupin.
Širší přehled, včetně způsobu zpracování dalších složitých scénářů, najdete v tématu Použití ID Microsoft Entra pro správu přístupu k aplikacím.
Pracovní postup souhlasu správce
Pracovní postup souhlasu správce poskytuje uživatelům způsob, jak požádat o souhlas správce pro aplikace, pokud nemají oprávnění k vyjádření souhlasu sami. Pokud je povolený pracovní postup souhlasu správce, zobrazí se uživatelům okno "Požadováno schválení" pro žádost o schválení správce pro přístup k aplikaci.
Jakmile uživatelé odešlou žádost o souhlas správce, dostanou oznámení správci, kteří jsou určeni jako kontroloři. Uživatelé jsou upozorněni poté, co revidujícím na žádost jedná. Podrobné pokyny ke konfiguraci pracovního postupu souhlasu správce pomocí Centra pro správu Microsoft Entra najdete v tématu konfigurace pracovního postupu souhlasu správce.
Jak uživatelé požadují souhlas správce
Po povolení pracovního postupu souhlasu správce můžou uživatelé požádat o schválení správce aplikace, ke které nemají oprávnění souhlas. Tady jsou kroky v procesu:
- Uživatel se pokusí přihlásit k aplikaci.
- Zobrazí se zpráva Požadováno schválení. Uživatel zadá odůvodnění, že potřebuje přístup k aplikaci, a pak vybere Žádost o schválení.
- Odeslání žádosti potvrzuje, že žádost byla odeslána správci. Pokud uživatel odešle několik žádostí, odešle se správci pouze první žádost.
- Uživatel obdrží e-mailové oznámení, když je žádost schválena, odepřena nebo blokována.