Richiesta di consenso imprevista al momento dell'accesso a un'applicazione
Molte applicazioni che si integrano con Microsoft Entra ID richiedono autorizzazioni per varie risorse per l'esecuzione. Quando queste risorse sono integrate anche con Microsoft Entra ID, viene richiesta l'autorizzazione per accedervi tramite il framework di consenso di Microsoft Entra. Queste richieste comportano la visualizzazione di una richiesta di consenso la prima volta che viene usata un'applicazione, che spesso è un'operazione monouso.
In alcuni scenari, è possibile visualizzare richieste di consenso aggiuntive quando un utente tenta di eseguire l'accesso. In questo articolo viene diagnosticato il motivo delle richieste di consenso impreviste visualizzate e come risolvere i problemi.
Scenari in cui gli utenti visualizzano richieste di consenso
È possibile prevedere ulteriori richieste in vari scenari:
L'applicazione è stata configurata per richiedere l'assegnazione. Il consenso utente singolo non è attualmente supportato per le app che richiedono l'assegnazione; pertanto le autorizzazioni devono essere concesse da un amministratore per l'intera directory. Se si configura un'applicazione per richiedere l'assegnazione, assicurarsi di concedere anche il consenso amministratore a livello di tenant in modo che l'utente assegnato possa accedere.
Il set di autorizzazioni richieste dall'applicazione è stato modificato dallo sviluppatore e deve essere concesso di nuovo.
L'utente che originariamente ha acconsentito all'applicazione non era un amministratore e ora un utente diverso (nonadmin) sta usando l'applicazione per la prima volta.
L'utente che originariamente ha acconsentito all'applicazione era un amministratore, ma non ha fornito il consenso per conto dell'intera organizzazione.
L'applicazione usa il consenso incrementale e dinamico per richiedere ulteriori autorizzazioni dopo che inizialmente è stato concesso il consenso. Il consenso incrementale e dinamico viene spesso usato quando le funzionalità facoltative di un'applicazione richiedono autorizzazioni superiori a quelle necessarie per la funzionalità di base.
Il consenso è stato revocato dopo essere stato inizialmente consentito.
Lo sviluppatore ha configurato l'applicazione per richiedere una richiesta di consenso ogni volta che viene usata (nota: questo comportamento non è una procedura consigliata).
Nota
Seguendo le raccomandazioni e le procedure consigliate di Microsoft, molte organizzazioni hanno disabilitato o limitato l'autorizzazione degli utenti per concedere il consenso alle app. Se un'applicazione impone agli utenti di concedere il consenso ogni volta che accedono, la maggior parte degli utenti verrà bloccata dall'uso di queste applicazioni anche se un amministratore concede il consenso amministratore a livello di tenant. Se si verifica un'applicazione che richiede il consenso dell'utente anche dopo che è stato concesso il consenso dell'amministratore, rivolgersi all'autore dell'app per verificare se ha un'impostazione o un'opzione per interrompere l'imposizione del consenso dell'utente a ogni accesso.
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Passaggi per la risoluzione dei problemi
Confrontare le autorizzazioni richieste e concesse per le applicazioni
Per assicurarsi che le autorizzazioni concesse per l'applicazione siano aggiornate, è possibile confrontare le autorizzazioni richieste dall'applicazione con le autorizzazioni già concesse nel tenant.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
- Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
- Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.
- In Sicurezza nel riquadro di spostamento a sinistra scegliere Autorizzazioni
- Visualizzare l'elenco delle autorizzazioni già concesse dalla tabella nella pagina Autorizzazioni
- Per visualizzare le autorizzazioni richieste, selezionare il pulsante Concedi consenso amministratore. Verrà aperta una richiesta di consenso che elenca tutte le autorizzazioni richieste. Non selezionare Accetta nella richiesta di consenso, a meno che non si sia certi di voler concedere il consenso amministratore a livello di tenant.
- All'interno della richiesta di consenso espandere le autorizzazioni elencate e confrontare la tabella nella pagina delle autorizzazioni. Se sono presenti nella richiesta di consenso ma non nella pagina delle autorizzazioni, tale autorizzazione deve ancora essere autorizzata. Le autorizzazioni non autorizzate possono essere la causa di richieste di consenso impreviste visualizzate per l'applicazione.
Visualizzare le impostazioni di assegnazione utente
Se l'applicazione richiede l'assegnazione, i singoli utenti non possono fornire il consenso per se stessi. Per verificare se per l'applicazione è necessaria l'assegnazione, eseguire le operazioni seguenti:
- Nella pagina dell'applicazione selezionare Proprietà in Gestisci.
- Controllare se l'assegnazione è obbligatoria? è impostata su Sì.
- Se impostato su sì, un amministratore deve fornire il consenso alle autorizzazioni per conto dell'intera organizzazione.
Esaminare le impostazioni di consenso utente a livello di tenant
Determinare se un singolo utente può fornire il consenso a un'applicazione può essere configurato da ogni organizzazione e può differire dalla directory alla directory. Anche se ogni autorizzazione non richiede il consenso amministratore per impostazione predefinita, l'organizzazione potrebbe aver disabilitato completamente il consenso dell'utente, impedendo a un singolo utente di fornire il consenso per se stessi per un'applicazione. Per visualizzare le impostazioni di consenso utente dell'organizzazione, eseguire le operazioni seguenti:
- Passare alla pagina Applicazioni aziendali dell'interfaccia di amministrazione di Microsoft Entra.
- In Sicurezza scegliere Consenso e autorizzazioni.
- Visualizzare le impostazioni di consenso dell'utente. Se impostato su Non consentire il consenso dell'utente, gli utenti non potranno mai fornire il consenso per conto di se stessi per un'applicazione.