Podczas logowania się do aplikacji pojawia się nieoczekiwany monit o wyrażenie zgody

Wiele aplikacji, które integrują się z identyfikatorem Entra firmy Microsoft, wymaga uprawnień do różnych zasobów w celu uruchomienia. Gdy te zasoby są również zintegrowane z identyfikatorem Entra firmy Microsoft, wymagane jest uprawnienie dostępu do nich przy użyciu platformy wyrażania zgody firmy Microsoft Entra. Żądania te powodują wyświetlenie monitu o wyrażenie zgody przy pierwszym użyciu aplikacji, która jest często jednorazową operacją.

W niektórych scenariuszach mogą pojawić się dodatkowe monity o wyrażenie zgody, gdy użytkownik spróbuje się zalogować. W tym artykule zdiagnozujemy przyczynę wyświetlania nieoczekiwanych monitów o wyrażenie zgody oraz sposób rozwiązywania problemów.

Scenariusze, w których użytkownicy widzą monity o wyrażenie zgody

Dalsze monity można oczekiwać w różnych scenariuszach:

• Aplikacja została skonfigurowana do wymagania przypisania. Indywidualna zgoda użytkownika nie jest obecnie obsługiwana w przypadku aplikacji wymagających przypisania; w związku z tym uprawnienia muszą zostać przyznane przez administratora dla całego katalogu. Jeśli skonfigurujesz aplikację tak, aby wymagała przypisania, należy również udzielić zgody administratora dla całej dzierżawy, aby przypisany użytkownik mógł się zalogować.

• Zestaw uprawnień wymaganych przez aplikację zmienił się przez dewelopera i musi zostać ponownie udzielony.

• Użytkownik, który pierwotnie wyraził zgodę na aplikację, nie był administratorem, a teraz inny (nieadmin) użytkownik używa aplikacji po raz pierwszy.

• Użytkownik, który pierwotnie wyraził zgodę na aplikację, był administratorem, ale nie wyraził zgody w imieniu całej organizacji.

• Aplikacja używa przyrostowej i dynamicznej zgody , aby zażądać dalszych uprawnień po początkowym udzieleniu zgody. Zgoda przyrostowa i dynamiczna jest często używana, gdy funkcje opcjonalne aplikacji wymagają uprawnień wykraczających poza te wymagane do działania punktu odniesienia.

• Zgoda została odwołana po początkowym udzieleniu zgody.

• Deweloper skonfigurował aplikację tak, aby wymagała monitu o wyrażenie zgody za każdym razem, gdy jest używana (uwaga: to zachowanie nie jest najlepszym rozwiązaniem).

  Uwaga

  Zgodnie z zaleceniami i najlepszymi rozwiązaniami firmy Microsoft wiele organizacji wyłączyło lub ograniczyło uprawnienia użytkowników do udzielania zgody na aplikacje. Jeśli aplikacja wymusza, aby użytkownicy udzielali zgody za każdym razem, gdy się logują, większość użytkowników będzie blokować korzystanie z tych aplikacji, nawet jeśli administrator udziela zgody administratora dla całej dzierżawy. Jeśli napotkasz aplikację, która wymaga zgody użytkownika nawet po udzieleniu zgody administratora, zapoznaj się z wydawcą aplikacji, aby sprawdzić, czy ma ustawienie lub opcję zaprzestania wymuszania zgody użytkownika na każdym logowaniu.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Kroki rozwiązywania problemów

Porównywanie żądanych i przyznanych uprawnień dla aplikacji

Aby upewnić się, że uprawnienia przyznane dla aplikacji są aktualne, możesz porównać uprawnienia żądane przez aplikację z uprawnieniami już przyznanymi w dzierżawie.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
4. W obszarze Zabezpieczenia w obszarze nawigacji po lewej stronie wybierz pozycję Uprawnienia
5. Wyświetl listę już udzielonych uprawnień z tabeli na stronie Uprawnienia
6. Aby wyświetlić żądane uprawnienia, wybierz przycisk Udziel zgody administratora. Spowoduje to otwarcie monitu o wyrażenie zgody z listą wszystkich żądanych uprawnień. Nie wybieraj pozycji Zaakceptuj w wierszu zgody, chyba że na pewno chcesz udzielić zgody administratora dla całej dzierżawy.
7. W wierszu zgody rozwiń listę uprawnień i porównaj ją z tabelą na stronie uprawnień. Jeśli którykolwiek z tych elementów znajduje się w monicie zgody, ale nie na stronie uprawnień, to uprawnienie nie zostało jeszcze udzielone. Niekonseksowane uprawnienia mogą być przyczyną nieoczekiwanych monitów o zgodę wyświetlanych dla aplikacji.

Wyświetlanie ustawień przypisania użytkownika

Jeśli aplikacja wymaga przypisania, indywidualni użytkownicy nie mogą wyrazić zgody na siebie. Aby sprawdzić, czy przypisanie jest wymagane dla aplikacji, wykonaj następujące czynności:

1. Na stronie aplikacji wybierz pozycję Właściwości w obszarze Zarządzaj.
2. Sprawdź, czy wymagane jest przypisanie? ma wartość Tak.
3. Jeśli ustawiono wartość tak, administrator musi wyrazić zgodę na uprawnienia w imieniu całej organizacji.

Przeglądanie ustawień zgody użytkownika dla całej dzierżawy

Określenie, czy użytkownik indywidualny może wyrazić zgodę na aplikację, może być skonfigurowany przez każdą organizację i może różnić się od katalogu do katalogu. Nawet jeśli każde uprawnienie domyślnie nie wymaga zgody administratora, organizacja może całkowicie wyłączyć zgodę użytkownika, uniemożliwiając indywidualnemu użytkownikowi wyrażanie zgody na aplikację. Aby wyświetlić ustawienia zgody użytkownika organizacji, wykonaj następujące czynności:

1. Przejdź do strony Aplikacje dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra.
2. W obszarze Zabezpieczenia wybierz pozycję Zgoda i uprawnienia.
3. Wyświetl ustawienia zgody użytkownika. Jeśli jest ustawiona wartość Nie zezwalaj na zgodę użytkownika, użytkownicy nigdy nie będą mogli wyrazić zgody w imieniu siebie dla aplikacji.

Następne kroki

• Zakresy, uprawnienia i zgoda w Platforma tożsamości Microsoft (punkt końcowy w wersji 2.0)

• Podczas wyrażania zgody dla aplikacji zostaje wyświetlony nieoczekiwany błąd