Поделиться через

Согласие пользователя и администратора в идентификаторе Microsoft Entra

  • Статья

В этой статье вы узнаете о базовых понятиях и сценариях согласия пользователя и администратора в идентификаторе Microsoft Entra ID.

Согласие — это процесс, в котором пользователи могут предоставить приложению разрешение на доступ к защищенному ресурсу. Чтобы указать требуемый уровень доступа, приложение запрашивает необходимые разрешения API. Например, приложение может запросить разрешение на просмотр профиля пользователя, выполнившего вход, и чтение содержимого его почтового ящика.

Согласие можно инициировать различными способами. Например, у пользователей может быть запрошено согласие при первой попытке входа в приложение. В зависимости от того, какие разрешения необходимы, некоторым приложениям может потребоваться, чтобы администратор предоставлял согласие.

Пользователь может разрешить приложению доступ к некоторым данным на защищенном ресурсе, действуя при этом от имени этого пользователя. Разрешения, которые позволяют такой тип доступа, называются "делегированными разрешениями".

Согласие пользователя инициируется при входе пользователя в приложение. После того как пользователь предоставляет учетные данные для входа, они проверка, чтобы определить, предоставлено ли согласие. Если предыдущая запись согласия пользователя или администратора на необходимые разрешения отсутствует, пользователь перенаправляется в окно запроса согласия, чтобы предоставить приложению запрошенные разрешения.

Согласие пользователя неадминистраторами возможно только в организациях, где согласие пользователя разрешено для приложения и для набора разрешений, необходимых приложению. Если согласие пользователя отключено или пользователи не могут предоставить согласие на запрошенные разрешения, они не запрашиваются. Если пользователям разрешено согласие, и они принимают запрошенные разрешения, оно записывается. Обычно пользователям не нужно снова предоставлять согласие на будущие входы в то же приложение.

Пользователи управляют своими данными. Привилегированный Администратор istrator может настроить, разрешено ли пользователям неадминистатор предоставлять согласие пользователя приложению. Этот параметр может принимать во внимание аспекты приложения и его издателя, а также запрашиваемые разрешения.

Администратор может указать, разрешено ли пользователю предоставлять согласие. Если вы решили разрешить согласие пользователя, вы также можете выбрать, какие условия должны выполняться, прежде чем пользователь сможет предоставить согласие на приложение.

Выбрав, какие политики согласия приложения применяются для всех пользователей, можно задать ограничения на то, когда пользователям разрешено предоставлять согласие приложениям. Политики согласия также сообщают, когда пользователям требуется запросить проверку и утверждение администратора. Центр администрирования Microsoft Entra предоставляет следующие встроенные параметры:

  • Вы можете отключить согласие пользователя. Пользователи не могут предоставлять разрешения для приложений. Пользователи продолжают входить в приложения, которым они уже предоставили согласие на использование приложений, которым администраторы предоставляют согласие от их имени. Тем не менее, они не могут предоставлять новые разрешения приложениям самостоятельно. Только пользователи, которым предоставлена роль каталога, которая включает разрешение на предоставление согласия, могут предоставить согласие на новые приложения.

  • Пользователи могут дать согласие для приложений от проверенных издателей или вашей организации, но только для выбранных вами разрешений. Все пользователи могут предоставлять согласие только приложениям , опубликованным проверенным издателем и приложениями, зарегистрированными в клиенте. Пользователи могут предоставить согласие только на разрешения, классифицируемые как низкие последствия. Необходимо классифицировать разрешения, чтобы выбрать, на какие разрешения пользователи могут предоставлять согласие.

  • Пользователи могут предоставлять согласие для всех приложений. Этот параметр позволяет всем пользователям предоставлять для любого приложения согласие на любое разрешение, которое не требует согласия администратора.

Для большинства организаций один из встроенных вариантов подходит. Некоторым расширенным клиентам может потребоваться больший контроль над условиями, определяющими, когда пользователям разрешено предоставлять согласие. Эти клиенты могут создавать настраиваемую политику согласия для приложений и настраивать эти политики для применения к согласию пользователей.

Во время согласия администратора привилегированный Администратор istrator может предоставлять доступ к приложению от имени других пользователей (обычно от имени всей организации). Кроме того, во время согласия администратора приложения или службы предоставляют прямой доступ к API, который используется приложением, если нет пользователя, вошедшего в систему. Определенная роль, необходимая для предоставления согласия администратора, отличается в зависимости от запрошенных разрешений, которые описаны в статье о предоставлении согласия администратора.

Когда ваша организация приобретает лицензию или подписку для нового приложения, вы можете заранее настроить приложение таким образом, чтобы все пользователи в организации могли его использовать. Чтобы избежать необходимости в согласии пользователей, администратор может предоставить согласие для приложения от имени всех пользователей в организации.

После предоставления администратору согласия администратора от имени организации пользователи не запрашивают согласие для этого приложения. В некоторых случаях пользователю может потребоваться согласие даже после предоставления администратором согласия. Пример может быть, если приложение запрашивает другое разрешение, которое администратор не предоставил.

Предоставление согласия администратора от имени организации — это конфиденциальная операция, позволяющая издателю приложения получать доступ к значительной части данных организации или разрешение на выполнение операций с высоким уровнем привилегий. Примерами таких операций могут быть управление ролями, полный доступ ко всем почтовым ящикам или всем сайтам, а также полное олицетворение пользователя.

Прежде чем предоставлять согласие администратора на уровне клиента, необходимо убедиться в доверии приложению и его издателю для того уровня доступа, который вы предоставляете. Если у вас нет полного понимания, кто управляет приложением и для чего ему нужны запрашиваемые разрешения, не предоставляйте согласие.

Пошаговое руководство по предоставлению согласия администратора для приложения см. в разделе Оценка запроса согласия администратора на уровне клиента.

Пошаговые инструкции по предоставлению согласия администратора на уровне клиента из Центра администрирования Microsoft Entra см. в статье Предоставление согласия администратора на уровне клиента приложению.

Вместо предоставления согласия для всей организации администратор может через API Microsoft Graph предоставлять согласие на делегированные разрешения от имени отдельного пользователя. Подробное описание примера использования Microsoft Graph Powershell см. в разделе о предоставлении согласия от имени одного пользователя с помощью Powershell.

Ограничение доступа пользователя к приложению

Доступ пользователей к приложениям по-прежнему может быть ограничен, даже если согласие администратора на уровне клиента уже предоставлено. Настройте свойства приложения на требование назначения пользователя для ограничения его доступа к приложению. Подробнее см. статью Методы назначения пользователей и групп.

Более широкий обзор, включая способы обработки других сложных сценариев, см. в статье Об использовании идентификатора Microsoft Entra для управления доступом к приложениям.

Рабочий процесс получения согласия администратора дает пользователям возможность запрашивать согласие администратора для приложений, когда они сами не имеют права давать согласие. Если включен рабочий процесс получения согласия администратора, пользователям отображается окно "Требуется утверждение" для запроса утверждения администратором на доступ к приложению.

После отправки запроса согласия администратора администраторы, назначенные в качестве рецензентов, получают уведомление. Пользователи уведомляются после того, как рецензент действует по запросу. Пошаговые инструкции по настройке рабочего процесса согласия администратора с помощью Центра администрирования Microsoft Entra см. в разделе "Настройка рабочего процесса согласия администратора".

После включения рабочего процесса на предоставление согласия администратора пользователи смогут запрашивать такое согласие для использование приложений, согласие на доступ к которым они не могут предоставить. Ниже приведены действия, описанные в этом процессе.

  1. Пользователь пытается войти в приложение.
  2. Появится требуемое сообщение об утверждении. Пользователь указывает обоснование потребности в доступе к приложению и нажимает кнопку "Запросить утверждение".
  3. Сообщение Запрос отправлен подтверждает, что запрос передан администратору. Если пользователь отправляет несколько одинаковых запросов, администратору передается только первый из них.
  4. Пользователь получает по электронной почте уведомление о том, что запрос утвержден, отклонен или заблокирован.

Следующие шаги