Azure Active Directory 中的應用程式授與整個租使用者的系統管理員同意

了解如何對應用程式授與全租用戶的管理員同意。 本文提供不同的方式來達成此目的。

如需同意應用程式的詳細資訊,請參閱 Azure Active Directory 同意架構

必要條件

授與整個租使用者的系統管理員同意,需要您以授權代表組織同意的使用者身分登入。 這包括 全域管理員 和特殊 許可權角色管理員。 針對 Microsoft Graph 或 Azure AD 不需要應用程式許可權的應用程式 Graph 這也包括應用程式系統管理員雲端應用程式系統管理員。 如果使用者獲指派 自訂目錄角色 (包含 授與許可權給應用程式的許可權),也可以授權使用者授與整個租使用者的同意。

警告

將租使用者的系統管理員同意授與應用程式,會將您組織資料的存取權授與應用程式和應用程式的發行者。 請先仔細檢閱應用程式所要求的權限,再授與同意。

重要

當應用程式被授與整個租使用者的系統管理員同意時,所有使用者都可以登入應用程式,除非它已設定為需要使用者指派。 若要限制哪些使用者可以登入應用程式,必須先指派使用者,然後將使用者或群組指派給應用程式。 如需詳細資訊,請參閱指派使用者和群組的方法

如果已在您的租使用者中布建應用程式,您可以透過 Enterprise 的應用程式 授與整個租使用者的系統管理員同意。 例如,如果至少有一位使用者已同意應用程式,則可以在您的租使用者中布建應用程式。 如需詳細資訊,請參閱將應用程式新增至 Azure Active Directory 的方式和原因

若要將整個租使用者的系統管理員同意授與 Enterprise 應用程式 中所列的應用程式:

  1. 以允許授與系統管理員同意的角色登入 Azure 入口網站 (請參閱 必要條件) 。

  2. 選取 Azure Active Directory 然後 Enterprise 應用程式

  3. 選取您要授與整個租使用者系統管理員同意的應用程式。

  4. 選取 [ 許可權 ],然後按一下 [授與管理員同意]。 在此範例中,我們使用10個 000ft plans 方案應用程式。

    螢幕擷取畫面顯示如何授與租使用者的全系統管理員同意。

  5. 仔細檢查應用程式所需的許可權。

  6. 如果您同意應用程式所需的許可權,請授與同意。 如果沒有,請按一下 [ 取消 ] 或關閉視窗。

警告

透過 Enterprise apps 授與整個租使用者的系統管理員同意,將會撤銷先前授與整個租使用者的任何許可權。 先前由使用者授與的許可權,將不會受到影響。

針對您的組織開發的應用程式,或直接在您的 Azure AD 租使用者中註冊的應用程式,您也可以從 Azure 入口網站中的 應用程式註冊 授與租使用者的系統管理員同意。

若要從 應用程式註冊 授與租使用者範圍的系統管理員同意:

  1. 以允許授與系統管理員同意的角色登入 Azure 入口網站 (請參閱 必要條件) 。
  2. 選取 Azure Active Directory 然後 應用程式註冊
  3. 選取您要授與整個租使用者系統管理員同意的應用程式。
  4. 選取 [ API 許可權 ],然後按一下 [授與管理員同意]。
  5. 仔細檢查應用程式所需的許可權。
  6. 如果您同意應用程式所需的許可權,請授與同意。 如果沒有,請按一下 [ 取消 ] 或關閉視窗。

警告

透過 應用程式註冊 授與整個租使用者的系統管理員同意,將會撤銷先前授與整個租使用者的任何許可權。 先前由使用者授與的許可權,將不會受到影響。

使用上述任一方法授與整個租使用者的系統管理員同意時,會從 Azure 入口網站開啟一個視窗,提示您提供整個租使用者的系統管理員同意。 如果您知道用戶端識別碼 (也稱為應用程式的應用程式識別碼) ,您可以建立相同的 URL 來授與整個租使用者的系統管理員同意。

全租用戶管理員同意 URL 會遵循下列格式:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

其中:

  • {client-id} 應用程式的用戶端識別碼 (也稱為應用程式識別碼) 。
  • {tenant-id} 這是您組織的租使用者識別碼或任何已驗證的功能變數名稱。

一如往常,請先仔細檢閱應用程式所要求的權限,再授與同意。

警告

將整個租使用者的系統管理員同意授與此 URL,將會撤銷先前授與整個租使用者的任何許可權。 先前由使用者授與的許可權,將不會受到影響。

下一步

設定使用者同意應用程式的方式

設定管理員同意工作流程

Microsoft 身分識別平台中的權限和同意

Azure AD 在 Microsoft Q&A