Azure AD企业应用程序用户对公司数据的同意

时间:2018-07-18 23:44:52

标签: azure-active-directory

对于Azure AD“企业应用程序”,是否可以仅针对某个应用程序设置“用户可以同意应用程序代表他们访问公司数据”,还是必须对租户中的所有应用程序进行设置?

我不是租户的管理员,而是我的租户中的注册用户。

该应用程序是现有应用程序,并已在开发者的租户中注册为多租户应用程序。我正试图让它在我的租户中工作。

此应用程序需要以下范围:

  • files.readwrite
  • files.readwrite.all
  • offline_access

我让租户的管理员通过以下方式在我的租户中为此应用程序创建了一个“服务主体”:

  1. https://login.microsoftonline.com/common/adminconsent?client_id22c49a0d-d21c-4792-aed1-8f163c982546&redirect_uri=http://localhost
  2. 以管理员身份登录我的租户

如何仅针对Azure AD管理中心中的应用设置“用户可以同意代表他们访问公司数据的应用”?

还有一个网站可以显示“ Azure AD Admin Center”中的所有屏幕吗?

1 个答案:

答案 0 :(得分:1)

首先,开发人员应注意Microsoft Graph Permissions,并了解已授权 application 权限之间的区别。因为有很大的不同。多租户应用程序的开发人员还应该了解如何生成admin consent url来请求其应用程序的管理员同意。

第二,如果Azure AD全局管理员将User can consent to apps accessing company data on their behalf选项配置为false,则只有全局管理员才能同意该应用程序。此选项是租户范围的,不能按应用程序进行控制。唯一的方法是与租户管理员交谈,向他解释此应用程序在做什么以及您为什么需要它。只有租户管理员才能同意使用此应用程序。

关于Azure AD Admin Center的屏幕-没有这样的网站。

更新

选项Users can consent to application accessing company information on their behalf位于:

尽管这将起作用,但将来它也适用于任何应用程序。启用此功能有一些目的。复查初始目的可能更有意义,如果仍然有效,则不要更改此值。如果您希望按原样保留设置的值,则可以与应用程序的开发人员联系,以提供一个admin consent URL。然后,您只需要将该URL提供给您的全局管理员,他就可以打开它,签名并同意。因此,您的所有用户将能够使用该应用程序,同时仍将Users can consent to applications accessing company data on their behalf设置为 false