Непредвиденный запрос согласия при входе в приложение

Для выполнения многих приложений, которые интегрируются с идентификатором Microsoft Entra ID, требуются разрешения на различные ресурсы. Если эти ресурсы также интегрированы с идентификатором Microsoft Entra, разрешение на доступ к ним запрашивается с помощью платформы согласия Microsoft Entra. Эти запросы приводят к отображению запроса согласия при первом использовании приложения, который часто является однократной операцией.

В некоторых сценариях дополнительные запросы на согласие могут отображаться при попытке входа пользователя. В этой статье мы диагностируем причину непредвиденных запросов на согласие и способы устранения неполадок.

Сценарии, в которых пользователи видят запросы на согласие

Дальнейшие запросы можно ожидать в различных сценариях:

• Приложение настроено так, что требуется назначение. Отдельное согласие пользователя в настоящее время не поддерживается для приложений, требующих назначения; Таким образом, разрешения должны быть предоставлены администратором для всего каталога. Если приложение настроено так, чтобы требовать назначения, обязательно предоставьте согласие администратора для всех арендаторов, чтобы назначенному пользователю удалось войти в систему.

• Набор разрешений, необходимых приложению, изменился разработчиком и должен быть предоставлен еще раз.

• Пользователь, который первоначально согласился с приложением, не был администратором, и теперь другой пользователь (неадмин) впервые использует приложение.

• Пользователь, который первоначально согласился на приложение, был администратором, но он не согласился от имени всей организации.

• Приложение использует добавочное и динамическое согласие для запроса дополнительных разрешений после первоначального предоставления согласия. Добавочное и динамическое согласие часто используется, если необязательные функции приложения требуют разрешений за пределами этих возможностей, необходимых для базовых функций.

• Согласие было отозвано после первоначального предоставления.

• Разработчик настроил приложение на запрос согласия при каждом использовании (обратите внимание: это поведение не рекомендуется).

  Заметка

  Следуя рекомендациям и лучшим практикам Майкрософт, многие организации отключили или ограничили возможность пользователей давать согласие приложениям. Если приложение заставляет пользователей предоставлять согласие при каждом входе, большинство пользователей будут заблокированы на использование этих приложений, даже если администратор предоставляет согласие администратора на уровне клиента. Если вы столкнулись с приложением, которое требует согласия пользователя даже после предоставления согласия администратора, обратитесь к издателю приложения, чтобы узнать, есть ли у них параметр или возможность прекратить принудительное согласие пользователя на каждом входе.

Действия по устранению неполадок

Сравнение запрошенных и предоставленных разрешений для приложений

Чтобы убедиться, что разрешения, предоставленные приложению, up-to-date, можно сравнить разрешения, запрашиваемые приложением, с разрешениями, уже предоставленными в клиенте.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора облачных приложений.
2. Перейдите к приложениям>Identity>Enterprise>Все приложения.
3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
4. В разделе "Безопасность" в навигационной панели слева выберите Разрешения
5. Просмотр списка уже предоставленных разрешений из таблицы на странице "Разрешения"
6. Чтобы просмотреть запрошенные разрешения, нажмите кнопку Предоставить согласие администратора. Откроется запрос на согласие со списком всех запрошенных разрешений. Не выбирайте принять в запросе на согласие, если вы не уверены, что хотите предоставить согласие администратора на уровне арендатора.
7. В запросе на согласие разверните перечисленные разрешения и сравните их с таблицей на странице разрешений. Если любой из них присутствует в запросе согласия, но не на странице разрешений, это разрешение еще не будет предоставлено. Разрешения без согласия могут быть причиной неожиданных запросов на согласие, которые отображаются для приложения.

Просмотр параметров назначения пользователей

Если приложению требуется назначение, отдельные пользователи не могут самостоятельно предоставить согласие. Чтобы проверить, требуется ли назначение для данного приложения, выполните следующие действия.

1. На странице приложения выберите свойства в разделе "Управление".
2. Проверьте, требуется ли назначение? задано значение Да.
3. Если задано значение "Да", администратор должен предоставить согласие на разрешения от имени всей организации.

Просмотр параметров согласия пользователей на уровне арендатора

Определение того, может ли отдельный пользователь предоставить согласие приложению, может быть настроено каждой организацией и может отличаться от каталога к каталогу. Даже если каждое разрешение не требует согласия администратора по умолчанию, ваша организация может полностью отключить согласие пользователя, предотвращая согласие отдельного пользователя для себя для приложения. Чтобы просмотреть параметры согласия пользователя вашей организации, сделайте следующее:

1. Перейдите в раздел корпоративных приложений центра администрирования Microsoft Entra.
2. В разделе Безопасностьвыберите Согласие и разрешения.
3. Просмотр параметров согласия пользователя. Если задано значение Не разрешать согласие пользователя, пользователи никогда не смогут предоставлять согласие от имени приложения.

Дальнейшие действия

• Сферы, разрешения и согласие на платформе идентификации Microsoft (конечная точка v2.0)

• непредвиденная ошибка при выполнении согласия на приложения