要求需要系統管理同意的許可權
在本文中,我們會說明您身為開發人員的案例許可權和同意體驗,其撰寫應用程式程式代碼以要求 需要系統管理同意的應用程式許可權 。 許可權和同意對話框的範例螢幕快照,以及 Microsoft Entra 系統管理中心可讓您了解使用者和租用戶系統管理員的體驗。 改善與系統管理員的共同作業,以在應用程式中實作最低許可權的 零信任 原則。
當您開發應用程式時,您可以撰寫程式代碼,以要求具有特定範圍(或許可權)的存取令牌來要求 存取資源 。 您可以使用範圍參數,如某些人描述為許可權的 OAuth 2.0 標準中所述。 資源擁有者授與或拒絕許可權要求。 在 Microsoft Entra 識別符中,資源擁有者是應用程式的使用者或有權代表所有使用者授與該資源同意的系統管理員。
使用者同意體驗
當您的應用程式要求存取資源的許可權時,您的使用者可能會看到 類似此範例的許可權 要求對話方塊。
![[要求的許可權] 對話框螢幕快照,其中描述應用程式使用 [取消] 和 [接受] 按鈕要求的許可權。](../media/develop/permissions-require-admin-consent/screenshot-app-perm-req-sign-in-access-data-expanded.png#lightbox)
在上述範例對話框中,用戶藉由選取 [接受] 或選取 [取消] 拒絕要求,授與同意,以允許應用程式代表他們讀取數據。 應用程式會收到存取令牌,而且可以在使用者授與同意之後繼續其程式。 請記得確定您的應用程式已準備好在未收到令牌時正常處理。
管理員同意體驗
對於某些存取要求,只有系統管理員可以授與同意。 如果要求的存取權強大,或涉及擁有者不是目前使用者的資源,則程式代碼只能讓系統管理員授與要求。
不過,您永遠不知道哪些許可權需要系統管理員同意,以及哪些許可權允許一般使用者授與同意,因為租用戶系統管理員可以使用 [不允許使用者同意] 來設定其租使用者(所有許可權都需要管理員同意),如下列範例螢幕快照所示:Microsoft Entra 系統管理中心的使用者同意設定。
![Microsoft Entra 系統管理中心 [使用者同意設定] 的螢幕快照,這些設定應用程式同意以存取組織數據。](../media/develop/permissions-require-admin-consent/screenshot-entra-user-consent-settings-expanded.png#lightbox)
系統管理員也可以 針對已驗證的發行者允許使用者同意應用程式,以取得選取的許可權 ,如下列範例螢幕快照 所示:Microsoft Entra 系統管理中心的使用者同意設定 。
![Microsoft Entra 系統管理中心 [使用者同意設定] 的螢幕快照,其中設定來自已驗證發行者的應用程式同意。](../media/develop/permissions-require-admin-consent/screenshot-entra-user-consent-settings-allow-user-expanded.png#lightbox)
然後 ,系統管理員可以新增使用者可以同意的許可權 ,如下列範例螢幕快照 所示:Microsoft Entra 系統管理中心的許可權分類 。
當您的應用程式要求需要系統管理員同意的許可權時(透過設計或系統管理員設定),您的使用者可能會看到類似此範例的 [需要管理員核准 ] 對話方塊。
![[需要管理員核准] 對話框的螢幕快照,其中描述系統管理員如何授與要求的許可權。](../media/develop/permissions-require-admin-consent/screenshot-app-perm-req-need-admin-approval-expanded.png#lightbox)
上述範例對話框會顯示需要管理員同意之許可權的預設 (現用) 體驗。 大部分的使用者都不知道此案例中該怎麼做。 他們不知道他們的系統管理員是誰,他們不知道誰要去核准。 這種不確定性可能會限制用戶達到預期結果的能力。
改善許可權和同意體驗
若要改善許可權和同意體驗,租用戶系統管理員可以 設定系統管理員同意工作流程 ,如下列範例螢幕快照 所示:Microsoft Entra 系統管理中心的用戶設定 。
在 [管理員同意要求] 中,租用戶系統管理員可以選取 [是] 來改善使用者的許可權和同意體驗,方法是在 [使用者] 上選取 [是],以要求他們無法同意的應用程式,以及設定其他系統管理員同意要求設定。
在租用戶系統管理員選取 [是 ] 之後 ,使用者可以要求系統管理員同意他們無法同意 的應用程式,而應用程式要求需要系統管理員同意的許可權之後,使用者會看到類似下列 [核准必要 ] 對話框,以提供更佳的用戶體驗。
![[需要核准] 對話框的螢幕快照,其中描述應用程式要求的許可權,其文字欄位為 [輸入要求此應用程式的理由]。](../media/develop/permissions-require-admin-consent/screenshot-app-perm-req-admin-approval-required-expanded.png#lightbox)
在上述範例對話框中,使用者可以在選取 [要求核准] 之前輸入要求此應用程式的理由。 然後,核准要求會 輸入系統管理員同意要求 佇列,系統管理員可以選擇根據風險配置檔檢閱、接受或禁止組織中的應用程式。
當系統管理員在 Microsoft Entra 系統管理中心執行需要系統管理員同意的應用程式時,系統管理使用者會看到 類似下列範例的許可權要求 對話方塊。
![[已要求的許可權] 對話框的螢幕快照,其中描述應用程式要求的許可權,並勾選複選框來代表貴組織切換 [同意]。](../media/develop/permissions-require-admin-consent/screenshot-app-perm-req-consent-obo-org-expanded.png#lightbox)
在上述範例中,系統管理員會看到應用程式要求的許可權描述。 系統管理員可以選取 [ 接受 ] 個別執行應用程式,或者他們可以 選取 [代表貴組織 同意],再選取 [ 接受]。 系統管理員授與組織的同意之後,除非系統管理員從租 使用者管理員同意要求 設定中移除同意,否則未來組織使用者不需要授與此應用程式的許可權。
租用戶系統管理員同意的另一種方法是在 Microsoft Entra 系統管理中心 許可權 中,系統管理員可以檢閱先前要求之應用程式許可權的詳細數據。
![Microsoft Entra 系統管理中心 [許可權] 的螢幕快照,其中顯示現有應用程式要求的詳細數據。](../media/develop/permissions-require-admin-consent/screenshot-entra-permissions-user-consent-expanded.png#lightbox)
在上述 使用者同意 範例中,系統管理員可以檢閱應用程式的已授與許可權,以及宣告、許可權類型及同意者的相關信息。 系統管理員可以選取 [管理員同意 ],以檢閱需要管理員同意的已授與許可權。
事先要求管理員同意
您最好的應用程式許可權策略是事先宣告應用程式在註冊應用程式時可能需要或要求的所有許可權。 您不需要同時要求所有許可權,但在宣告應用程式可能需要的所有許可權之後,系統管理員可以在租使用者的 app 設定中選取 [授與系統管理員同意 ] 來顯示類似此範例的對話框。
![[要求檢閱貴組織的許可權] 對話框的螢幕快照,其中描述應用程式使用 [取消] 和 [接受] 按鈕要求的許可權。](../media/develop/permissions-require-admin-consent/screenshot-app-perm-req-review-for-org-expanded.png#lightbox)
上述範例示範系統管理員如何預先瞭解您宣告的許可權,併為使用者和租用戶系統管理員提供最佳體驗。
事先要求系統管理員同意是企業營運 (LOB) 應用程式的絕佳選擇,尤其是您組織正在開發的應用程式。 您不需要透過預先接受這些應用程式來存取公司數據,就比較容易詢問使用者。 您會在應用程式註冊程式中提出系統管理員同意要求。
下一步
- 取得存取資源的授權可協助您瞭解如何在取得應用程式的資源訪問許可權時,最好確保 零信任。
- API 保護說明透過註冊、定義許可權和同意來保護 API 的最佳做法,以及強制執行存取以達成您的 零信任 目標。
- 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。
- 自定義令牌描述您可以在 Entra 令牌 中接收的資訊Microsoft。 它說明如何自定義令牌,以改善彈性和控制,同時提高應用程式零信任安全性與最低許可權。
- Microsoft 身分識別平台 中的許可權和同意概觀可協助您瞭解存取和授權的基本概念。
- 同意和許可權 概觀可協助您瞭解Microsoft Entra標識符中同意和許可權的基本概念和案例。
- 學習課程模組: 許可權和同意架構 可協助您了解許可權和同意架構模型。
- 了解即時: Microsoft身分識別:許可權和同意架構 可協助您瞭解Microsoft身分識別的基本概念,包括令牌、帳戶類型和拓撲。