登入應用程式時未預期的同意提示
許多與 Microsoft Entra ID 整合的應用程式都需要各種資源的許可權才能執行。 當這些資源也與 Microsoft Entra ID 整合時,會使用 Microsoft Entra 同意架構來要求存取這些資源的許可權。 這些要求會導致第一次使用應用程式時顯示同意提示,這通常是一次性作業。
在某些情況下,當用戶嘗試登入時,可能會顯示其他同意提示。 在本文中,我們會分析非預期出現的同意提示的原因,以及如何排除問題。
使用者看到同意提示的案例
在各種案例中,可能會有進一步的提示:
應用程式已設定為需要指派。 需要指派的應用程式目前不支援個別使用者同意;因此,整個目錄的系統管理員必須授與許可權。 如果您將應用程式設定為需要指派,請務必同時授與全租用戶的系統管理員同意,讓指派的用戶能夠登入。
應用程式所需的許可權集合已由開發人員變更,而且需要再次授與。
最初同意應用程式的使用者不是系統管理員,而現在不同的(非系統管理員)使用者會第一次使用應用程式。
最初同意應用程式的使用者是系統管理員,但他們並未代表整個組織同意。
應用程式會使用 累加式和動態同意,在最初授與同意之後要求進一步的許可權。 當應用程式的選擇性功能需要超出基準功能所需的許可權時,通常會使用累加式和動態同意。
最初獲得的同意已被撤銷。
開發人員已設定應用程式在每次使用時要求同意提示(注意:此行為不是最佳做法)。
注意
遵循Microsoft的建議和最佳做法,許多組織已停用或限制使用者授與應用程式同意的許可權。 如果應用程式強制使用者在每次登入時授與同意,則即使系統管理員授與租戶範圍管理員同意,大部分的使用者仍會被阻止使用這些應用程式。 如果您在授與系統管理員同意之後,遇到需要使用者同意的應用程式,請洽詢應用程式發行者,以查看他們是否有設定或選項可停止在每次登入時強制使用者同意。
疑難解答步驟
比較應用程式所要求和所授予的權限
若要確保為應用程式授與的許可權是 up-to-date,您可以比較應用程式所要求的許可權與租使用者中已授與的許可權。
- 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 身分識別>應用程式>企業應用程式>所有應用程式。
- 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
- 在左側導覽中的 [安全性] 下,選擇 [權限]
- 從 [許可權] 頁面上的數據表檢視已授與許可權的清單
- 若要檢視要求的許可權,請選取 [授與系統管理員同意] 按鈕。 這會開啟同意提示,其中列出所有要求的許可權。 除非您確定要授予租用戶全域管理員同意,否則請勿在同意提示中選擇 [接受]。
- 在同意提示中,展開列出的許可權,並與許可權頁面上的數據表進行比較。 如果同意提示中有任何權限,但在許可權頁面上沒有顯示,該權限尚未獲得同意。 未同意的許可權可能是應用程式顯示未預期的同意提示的原因。
檢視使用者指派設定
如果應用程式需要指派,個別用戶無法自行同意。 若要檢查應用程式是否需要指派,請執行下列動作:
- 在應用程式的頁面上,在 [管理 ]下選取 [屬性]。
- 檢查是否需要 指派? 設定為 [是] 。
- 如果設定為 [是],則系統管理員必須代表整個組織同意許可權。
檢閱租戶範圍內的使用者同意設定
判斷個別使用者是否能對應用程式進行同意的設定可以由每個組織進行,而且可能在不同的目錄之間有所差異。 即使每個許可權預設都不需要系統管理員同意,貴組織可能完全停用使用者同意,以防止個別使用者自行同意應用程式。 若要檢視貴組織的使用者同意設定,請執行下列動作:
- 瀏覽至 Microsoft Entra 系統管理中心的 企業應用程式 頁面。
- 在 安全性下,選擇 同意和權限。
- 檢視使用者同意設定。 如果設定為 不允許使用者同意,則使用者永遠無法代表自己同意應用程式。