Udostępnij za pośrednictwem


Zgoda użytkownika i administratora w identyfikatorze Entra firmy Microsoft

W tym artykule poznasz podstawowe pojęcia i scenariusze dotyczące zgody użytkownika i administratora w usłudze Microsoft Entra ID.

Zgoda to proces, w którym użytkownicy mogą udzielić aplikacji uprawnień dostępu do chronionego zasobu. Aby wskazać wymagany poziom dostępu, aplikacja żąda wymaganych uprawnień interfejsu API. Na przykład aplikacja może zażądać uprawnienia do wyświetlenia profilu zalogowanego użytkownika i odczytania zawartości skrzynki pocztowej użytkownika.

Zgoda może być inicjowana na różne sposoby. Na przykład użytkownicy mogą być monitowani o zgodę podczas próby zalogowania się do aplikacji po raz pierwszy. W zależności od wymaganych uprawnień niektóre aplikacje mogą wymagać, aby administrator był tym, który udziela zgody.

Użytkownik może autoryzować aplikację w celu uzyskania dostępu do niektórych danych w chronionym zasobie, działając jako ten użytkownik. Uprawnienia zezwalające na dostęp tego typu są nazywane "uprawnieniami delegowanymi".

Zgoda użytkownika jest inicjowana, gdy użytkownik loguje się do aplikacji. Po podaniu poświadczeń logowania użytkownik jest sprawdzany, czy zgoda została już udzielona. Jeśli nie istnieje żaden poprzedni rekord zgody użytkownika lub administratora na wymagane uprawnienia, użytkownik jest kierowany do okna monitu o wyrażenie zgody w celu udzielenia aplikacji żądanych uprawnień.

Zgoda użytkownika przez administratorów jest możliwa tylko w organizacjach, w których zgoda użytkownika jest dozwolona dla aplikacji i dla zestawu uprawnień wymaganych przez aplikację. Jeśli zgoda użytkownika jest wyłączona lub użytkownicy nie mogą wyrazić zgody na żądane uprawnienia, nie są monitowani o zgodę. Jeśli użytkownicy mogą wyrazić zgodę i akceptują żądane uprawnienia, zostanie zarejestrowana zgoda. Użytkownicy zwykle nie muszą ponownie wyrazić zgody na przyszłe logowania do tej samej aplikacji.

Użytkownicy mają kontrolę nad swoimi danymi. Administrator uprzywilejowany może skonfigurować, czy użytkownicy niebędący administratorami mogą udzielać użytkownikowi zgody na aplikację. To ustawienie może uwzględniać aspekty aplikacji i wydawcy aplikacji oraz żądane uprawnienia.

Jako administrator możesz wybrać, czy zgoda użytkownika jest dozwolona. Jeśli zdecydujesz się zezwolić na zgodę użytkownika, możesz również wybrać warunki, które muszą zostać spełnione, zanim użytkownik będzie mógł wyrazić zgodę na aplikację.

Po wybraniu zasad zgody aplikacji dla wszystkich użytkowników można ustawić limity, gdy użytkownicy mogą udzielać zgody na aplikacje. Zasady zgody informują również, kiedy użytkownicy są zobowiązani do żądania przeglądu i zatwierdzenia przez administratora. Centrum administracyjne firmy Microsoft Entra udostępnia następujące wbudowane opcje:

  • Możesz wyłączyć zgodę użytkownika. Użytkownicy nie mogą udzielać uprawnień aplikacjom. Użytkownicy nadal logują się do aplikacji, na które już wyrazili zgodę, lub do aplikacji, do których administratorzy udzielają zgody w ich imieniu. Nie mogą jednak samodzielnie wyrażać zgody na nowe uprawnienia do aplikacji. Tylko użytkownicy, którzy otrzymują rolę katalogu, która zawiera uprawnienia do udzielania zgody, mogą wyrazić zgodę na nowe aplikacje.

  • Użytkownicy mogą wyrazić zgodę na aplikacje od zweryfikowanych wydawców lub organizacji, ale tylko dla wybranych uprawnień. Wszyscy użytkownicy mogą wyrazić zgodę tylko na aplikacje opublikowane przez zweryfikowanego wydawcę i aplikacje zarejestrowane w dzierżawie. Użytkownicy mogą wyrazić zgodę tylko na uprawnienia sklasyfikowane jako niskie. Musisz sklasyfikować uprawnienia , aby wybrać uprawnienia, do których użytkownicy mogą wyrazić zgodę.

  • Użytkownicy mogą wyrazić zgodę na wszystkie aplikacje. Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji.

W przypadku większości organizacji jedną z wbudowanych opcji jest odpowiednia. Niektórzy zaawansowani klienci mogą chcieć mieć większą kontrolę nad warunkami, które określają, kiedy użytkownicy mogą wyrazić zgodę. Ci klienci mogą tworzyć niestandardowe zasady zgody aplikacji i konfigurować te zasady w celu zastosowania w celu wyrażenia zgody użytkownika.

Podczas wyrażania zgody administratora administrator uprzywilejowany może udzielić dostępu do aplikacji w imieniu innych użytkowników (zazwyczaj w imieniu całej organizacji). Ponadto podczas wyrażania zgody administratora aplikacje lub usługi zapewniają bezpośredni dostęp do interfejsu API, który jest używany przez aplikację, jeśli nie ma zalogowanego użytkownika. Określona rola wymagana do udzielenia zgody administratora różni się w zależności od żądanych uprawnień, które opisano w artykule dotyczącym udzielania zgody administratora.

Gdy organizacja kupuje licencję lub subskrypcję dla nowej aplikacji, możesz aktywnie chcieć skonfigurować aplikację, aby wszyscy użytkownicy w organizacji mogli z niej korzystać. Aby uniknąć potrzeby wyrażania zgody przez użytkownika, administrator może udzielić zgody aplikacji w imieniu wszystkich użytkowników w organizacji.

Gdy administrator udzieli zgody administratora w imieniu organizacji, użytkownicy nie będą monitowani o zgodę dla tej aplikacji. W niektórych przypadkach użytkownik może zostać poproszony o zgodę nawet po przyznaniu zgody przez administratora. Przykładem może być żądanie przez aplikację innego uprawnienia, które nie udzielono administratorowi.

Udzielanie zgody administratora w imieniu organizacji jest operacją wrażliwą, co potencjalnie umożliwia wydawcy aplikacji dostęp do znaczących części danych organizacji lub uprawnienia do wykonywania wysoce uprzywilejowanych operacji. Przykładami takich operacji może być zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika.

Przed udzieleniem zgody administratora dla całej dzierżawy upewnij się, że ufasz aplikacji i wydawcy aplikacji, aby uzyskać dostęp udzielany. Jeśli nie masz pewności, kto kontroluje aplikację i dlaczego aplikacja żąda uprawnień, nie udzielaj zgody.

Aby uzyskać szczegółowe wskazówki dotyczące udzielania zgody administratora aplikacji, zobacz Ocena żądania zgody administratora dla całej dzierżawy.

Aby uzyskać instrukcje krok po kroku dotyczące udzielania zgody administratora dla całej dzierżawy z centrum administracyjnego firmy Microsoft Entra, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.

Zamiast udzielać zgody dla całej organizacji, administrator może również użyć interfejsu API programu Microsoft Graph, aby udzielić zgody na delegowane uprawnienia w imieniu pojedynczego użytkownika. Aby uzyskać szczegółowy przykład korzystający z programu Microsoft Graph PowerShell, zobacz Udzielanie zgody w imieniu pojedynczego użytkownika przy użyciu programu PowerShell.

Ograniczanie dostępu użytkowników do aplikacji

Dostęp użytkowników do aplikacji może być nadal ograniczony, nawet jeśli udzielono już zgody administratora dla całej dzierżawy. Skonfiguruj właściwości aplikacji, aby wymagać przypisania użytkownika w celu ograniczenia dostępu użytkowników do aplikacji. Aby uzyskać więcej informacji, zobacz Metody przypisywania użytkowników i grup.

Aby zapoznać się z szerszym omówieniem, w tym sposobem obsługi innych złożonych scenariuszy, zobacz Use Microsoft Entra ID for application access management (Używanie identyfikatora Entra firmy Microsoft do zarządzania dostępem do aplikacji).

Przepływ pracy zgody administratora umożliwia użytkownikom żądanie zgody administratora dla aplikacji, gdy nie mogą wyrazić zgody na siebie. Po włączeniu przepływu pracy zgody administratora użytkownicy otrzymują okno "Wymagane zatwierdzenie" w celu żądania zatwierdzenia przez administratora w celu uzyskania dostępu do aplikacji.

Po przesłaniu żądania zgody administratora administratorzy, którzy są wyznaczeni jako recenzenci, otrzymają powiadomienie. Użytkownicy są powiadamiani po tym, jak recenzent działa na ich żądanie. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania przepływu pracy zgody administratora przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Konfigurowanie przepływu pracy zgody administratora.

Po włączeniu przepływu pracy zgody administratora użytkownicy mogą zażądać zatwierdzenia przez administratora aplikacji, do której nie mają autoryzacji. Poniżej przedstawiono kroki procesu:

  1. Użytkownik próbuje zalogować się do aplikacji.
  2. Zostanie wyświetlony komunikat Wymagany zatwierdzenie. Użytkownik wpisze uzasadnienie potrzeby uzyskania dostępu do aplikacji, a następnie wybierze pozycję "Żądanie zatwierdzenia".
  3. Wysłana wiadomość z żądaniem potwierdza, że żądanie zostało przesłane do administratora. Jeśli użytkownik wysyła kilka żądań, tylko pierwsze żądanie zostanie przesłane do administratora.
  4. Użytkownik otrzymuje powiadomienie e-mail, gdy żądanie zostanie zatwierdzone, odrzucone lub zablokowane.

Następne kroki