Как администратор Azure AD может предоставить разрешение на локальное приложение определенным пользователям без согласия администратора?

Question

Допустим, я администратор Azure AD, который хочет контролировать, какие пользователи могут получить доступ к определенному приложению, созданному в моем клиенте (это локальное приложение).

Когда я читаю here следующее:

Приложения, зарегистрированные в клиенте Azure Active Directory (Azure AD), по умолчанию доступны всемпользователи арендатора, которые успешно проходят аутентификацию.

Я склонен полагать, что мне не нужно делать ничего особенного, однако это не так.

Что я сделал?

Первое, что я сделал, - отключил возможность пользователей моего арендатора давать согласие на сторонние приложения.Для этого я перешел в «Корпоративные приложения», а затем в «Настройки пользователя» и отключил настройку согласия, как показано ниже.

Это, я считаю,чтобы пользователи моего клиента не могли получить доступ к каким-либо случайным сторонним приложениям.

Затем я создал приложение в Azure AD.Это приложение отображается в списке «Корпоративные приложения».

Я выбираю только что созданное приложение, захожу в «Свойства» и устанавливаю «Требуется назначение пользователя» на «да», как показано ниже.

После этого я захожу в «Обзор» и предоставляю явное разрешение пользователю (в данном случае Гаураву), как показано ниже.

Я также вижу, что два пользователя получили доступ к приложению.

Ожидаемое поведение

После всех этих настроек я ожидаю, что этот пользователь (Gaurav) сможет войти в приложение.

Фактическое поведение (проблема, с которой я сталкиваюсь)

Однако, когда этот пользователь пытается подключиться к этому приложению, он не работает в том смысле, что пользователь получает сообщение о том, что требуется согласие администратора.

Что я могу сделать, чтобы избежать проблемы, с которой я сталкиваюсь?Я почти уверен, что должен быть какой-то параметр, который я пропускаю.

Обратите внимание, что:

• Приложение, которое я создал, является локальным для клиента, которым я администрирую.* Это нативное приложение, которое по умолчанию является мультитенантным, однако я изменил манифест приложения и сделал его одним арендатором.
• Как администратор, я не хочу давать «согласие администратора», насколько я понимаючто, если я сделаю это, все пользователи будут иметь доступ к приложению, поскольку я хочу, чтобы только определенные пользователи имели доступ к приложению.Более того, как администратор я не хочу входить в это приложение.

Answer 1

Только назначенные вами пользователи будут иметь доступ, даже если вы дадите согласие администратора.Потому что у вас есть необходимые задания.

Согласие администратора означает, что ни одному пользователю не будет предложено дать согласие на разрешения, требуемые приложением.