Nieoczekiwany monit o wyrażenie zgody podczas logowania się do aplikacji

Wiele aplikacji, które integrują się z identyfikatorem Entra firmy Microsoft, wymaga uprawnień do różnych zasobów w celu uruchomienia. Gdy te zasoby są również zintegrowane z identyfikatorem Entra firmy Microsoft, wymagane jest uprawnienie dostępu do nich przy użyciu platformy wyrażania zgody firmy Microsoft Entra. Żądania te powodują wyświetlenie monitu o wyrażenie zgody przy pierwszym użyciu aplikacji, która jest często jednorazową operacją.

W niektórych scenariuszach mogą pojawić się dodatkowe powiadomienia o wyrażenie zgody, gdy użytkownik spróbuje się zalogować. W tym artykule zdiagnozujemy przyczynę wyświetlania nieoczekiwanych monitów o wyrażenie zgody oraz sposób rozwiązywania problemów.

Scenariusze, na których użytkownicy widzą komunikaty o wyrażeniu zgody

Dalsze zapytania można oczekiwać w różnych scenariuszach.

• Aplikacja została skonfigurowana, aby wymagać przypisania. Indywidualna zgoda użytkownika nie jest obecnie obsługiwana w przypadku aplikacji wymagających przypisania; w związku z tym uprawnienia muszą zostać przyznane przez administratora dla całego katalogu. Jeśli skonfigurujesz aplikację tak, aby wymagała przypisania, należy również udzielić zgody administratora dla dzierżawy, aby mógł się zalogować przypisany użytkownik.

• Zestaw uprawnień wymaganych przez aplikację zmienił się przez dewelopera i musi zostać ponownie udzielony.

• Użytkownik, który pierwotnie wyraził zgodę na aplikację, nie był administratorem, a teraz inny (nieadmin) użytkownik używa aplikacji po raz pierwszy.

• Użytkownik, który pierwotnie wyraził zgodę na aplikację, był administratorem, ale nie wyraził zgody w imieniu całej organizacji.

• Aplikacja używa przyrostowej i dynamicznej zgody, aby żądać dalszych uprawnień po udzieleniu początkowej zgody. Zgoda przyrostowa i dynamiczna jest często używana, gdy funkcje opcjonalne aplikacji wymagają uprawnień wykraczających poza te wymagane do działania punktu odniesienia.

• Zgoda została odwołana po początkowym udzieleniu zgody.

• Deweloper skonfigurował aplikację tak, aby wymagała monitu o wyrażenie zgody za każdym razem, gdy jest używana (uwaga: to zachowanie nie jest najlepszym rozwiązaniem).

  Notatka

  Zgodnie z zaleceniami i najlepszymi rozwiązaniami firmy Microsoft wiele organizacji wyłączyło lub ograniczyło uprawnienia użytkowników do udzielania zgody na aplikacje. Jeśli aplikacja wymusza, aby użytkownicy udzielali zgody za każdym razem, gdy się logują, większość użytkowników zostanie zablokowana przed korzystaniem z tych aplikacji, nawet jeśli administrator udzielił zgody dla całej dzierżawy. Jeśli napotkasz aplikację, która wymaga zgody użytkownika nawet po udzieleniu zgody administratora, zapoznaj się z wydawcą aplikacji, aby sprawdzić, czy ma ustawienie lub opcję zaprzestania wymuszania zgody użytkownika na każdym logowaniu.

Kroki rozwiązywania problemów

Porównywanie żądanych i przyznanych uprawnień dla aplikacji

Aby upewnić się, że uprawnienia przyznane dla aplikacji są up-to-date, możesz porównać uprawnienia żądane przez aplikację z uprawnieniami już przyznanymi w dzierżawie.

1. Zaloguj się jako co najmniej Administrator aplikacji w chmurzedo centrum administracyjnego Microsoft Entra.
2. Przejdź do Identity>Applications>Enterprise applications>All applications.
3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
4. W obszarze Zabezpieczenia w obszarze nawigacji po lewej stronie wybierz pozycję Uprawnienia
5. Wyświetl listę już udzielonych uprawnień z tabeli na stronie Uprawnienia
6. Aby wyświetlić żądane uprawnienia, wybierz przycisk Udziel zgody administratora. Spowoduje to otwarcie monitu o wyrażenie zgody z listą wszystkich żądanych uprawnień. Nie wybieraj Akceptuj w monicie zgody, chyba że na pewno chcesz udzielić zgody administratora dla całej dzierżawy.
7. W obrębie monitu zgody rozwiń wymienione uprawnienia i porównaj je z tabelą na stronie uprawnień. Jeśli którykolwiek z tych elementów znajduje się w monicie zgody, ale nie na stronie uprawnień, to uprawnienie nie zostało jeszcze udzielone. Niedozwolone uprawnienia mogą być przyczyną pojawiania się nieoczekiwanych monitów o zgodę w aplikacji.

Wyświetlanie ustawień przypisania użytkownika

Jeśli aplikacja wymaga przypisania, pojedynczy użytkownicy nie mogą wyrazić zgody dla siebie. Aby sprawdzić, czy przypisanie jest wymagane dla aplikacji, wykonaj następujące czynności:

1. Na stronie aplikacji wybierz pozycję Właściwości w obszarze Zarządzaj.
2. Sprawdź, czy wymagane jest przypisanie? jest ustawiona na wartość Tak.
3. Jeśli ustawiono wartość tak, administrator musi wyrazić zgodę na uprawnienia w imieniu całej organizacji.

Przeglądanie ustawień zgody użytkownika dla całej dzierżawy

Określenie, czy użytkownik indywidualny może wyrazić zgodę na aplikację, może być skonfigurowane przez każdą organizację i mogą się różnić od katalogu do katalogu. Nawet jeśli każde uprawnienie domyślnie nie wymaga zgody administratora, organizacja może całkowicie wyłączyć zgodę użytkownika, uniemożliwiając indywidualnemu użytkownikowi wyrażanie zgody na aplikację. Aby wyświetlić ustawienia zgody użytkownika organizacji, wykonaj następujące czynności:

1. Przejdź do strony Aplikacje dla przedsiębiorstw centrum administracyjnego firmy Microsoft Entra.
2. W obszarze Securitywybierz pozycję Zgoda i uprawnienia.
3. Wyświetl ustawienia zgody użytkownika. Jeśli ustawiono wartość Nie zezwalaj na zgodę użytkownika, użytkownicy nigdy nie będą mogli wyrazić zgody w imieniu własnym dla aplikacji.

Następne kroki

• Zakresy, Uprawnienia i Zgoda na Platformie Tożsamości firmy Microsoft (punkt końcowy w wersji 2.0)

• Nieoczekiwany błąd podczas wyrażania zgody na aplikację