Непредвиденный запрос на согласие при входе в приложение

Для выполнения многих приложений, которые интегрируются с идентификатором Microsoft Entra ID, требуются разрешения на различные ресурсы. Если эти ресурсы также интегрированы с идентификатором Microsoft Entra, разрешение на доступ к ним запрашивается с помощью платформы согласия Microsoft Entra. Эти запросы приводят к отображению запроса на согласие при первом запуске приложения, что часто является единовременной операцией.

В некоторых сценариях при попытке входа пользователя могут появляться дополнительные запросы согласия. В этой статье мы диагностируем причину непредвиденных запросов на согласие и способы устранения неполадок.

Сценарии, в которых пользователи видят запрос на согласие

Дальнейшие запросы можно ожидать в разных сценариях:

• Приложение настроено таким образом, чтобы требовать наличия назначения. Отдельное согласие пользователя в настоящее время не поддерживается для приложений, требующих назначения; Таким образом, разрешения должны быть предоставлены администратором для всего каталога. При настройке приложения для обязательного назначения необходимо также предоставить согласие администратора на уровне клиента, чтобы назначенный пользователь мог выполнить вход.

• Набор разрешений, необходимых приложению, изменен разработчиком и должен быть предоставлен еще раз.

• Пользователь, который первоначально согласился с приложением, не был администратором, и теперь другой пользователь (неадмин) впервые использует приложение.

• Пользователь, который изначально дал согласие для приложения, являлся администратором, однако он сделал это не от имени всей организации.

• Приложение использует добавочное и динамическое согласие для запроса дополнительных разрешений после изначального предоставления согласия. Добавочное и динамическое согласие часто применяется, когда расширенным функциям приложения нужны разрешения сверх базового набора.

• Согласие было отозвано после первоначального предоставления.

• Разработчик настроил приложение на запрос согласия при каждом использовании (обратите внимание: это поведение не рекомендуется).

  Примечание.

  Следуя советам и рекомендациям Майкрософт, многие организации отключили или ограничили возможность для пользователей давать согласие для приложений. Если приложение заставляет пользователей давать согласие при каждом входе, большинство пользователей не сможет с ним работать, даже если администратор предоставил согласие на уровне арендатора. Если вы столкнулись с приложением, которое требует согласия пользователя даже при наличии согласия администратора, уточните у издателя этого приложения, можно ли отключить в нем запрос на согласие пользователя при каждом входе.

Действия по устранению неполадок

Сравнение запрошенных и предоставленных разрешений для приложений

Чтобы обеспечить актуальность разрешений, предоставленных приложению, можно сравнить разрешения, запрашиваемые приложением, с разрешениями, уже предоставленными в клиенте.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
4. В разделе "Безопасность" в области навигации слева выберите Разрешения
5. Просмотрите список уже предоставленных разрешений из таблицы на странице "Разрешения"
6. Чтобы просмотреть запрошенные разрешения, нажмите кнопку "Предоставить согласие администратора". Откроется запрос на согласие со списком всех запрошенных разрешений. Не нажимайте кнопку "Принять" в запросе согласия, если вы не хотите предоставить согласие администратора на уровне клиента.
7. В запросе согласия разверните перечисленные разрешения и сравните с таблицей на странице разрешений. Если какие-либо разрешения есть в запросе согласия, но на странице разрешений их нет, на это разрешение еще не предоставлено согласие. Разрешения, для которых не было предоставлено согласие, могут являться причиной непредвиденных запросов согласия, отображаемых для приложения.

Просмотр параметров назначения пользователей

Если приложению требуется назначение, отдельные пользователи не могут предоставить согласие для себя. Чтобы проверить, требуется ли назначение для приложения, выполните следующие действия:

1. На странице приложения выберите свойства в разделе "Управление".
2. Убедитесь, что для параметра Требуется ли назначение? установлено значение Да.
3. Если задано значение "Да", администратор должен предоставить согласие на разрешения от имени всей организации.

Просмотр параметров согласия пользователя на уровне клиента

Определение того, разрешено ли отдельному пользователю давать согласие для приложение, может настраиваться каждой организацией и отличаться от каталога к каталогу. Даже если для каждого разрешения не требуется согласие администратора по умолчанию, ваша организация может полностью отключить согласие пользователя, не позволяя отдельному пользователю давать согласие для приложения. Чтобы просмотреть параметры согласия пользователя в организации, выполните следующие действия:

1. Перейдите на страницу корпоративных приложений Центра администрирования Microsoft Entra.
2. В разделе "Безопасность" выберите "Согласие" и "Разрешения".
3. Просмотр параметров согласия пользователя. Если задано значение "Не разрешать согласие пользователя", пользователи никогда не смогут предоставлять согласие от имени приложения.

Следующие шаги

• Области, разрешения и согласие в платформа удостоверений Майкрософт (конечная точка версии 2.0)

• Непредвиденная ошибка при предоставлении согласия для приложения