Почему требуется разрешение администратора, если мое приложение запрашивает только разрешение User.Read?

Question

Как вы видите мою новую зарегистрированную регистрацию приложения, это приложение, которое требует только пользователей, чтобы войти. Все, кроме минимальных требований к работе. Я не настроил его для запроса какого-либо особого разрешения

Когда я пытаюсь войти в систему, появляется это сообщение "Приложение требует разрешения для получить доступ к ресурсам в вашей организации, которые может предоставить только администратор. Пожалуйста, попросите администратора дать разрешение на это приложение, прежде чем вы сможете его использовать "

Почему? Разрешения, запрашиваемые приложением, являются базовыми c. Я не понимаю, почему требуется согласие администратора.

Большое спасибо

Answer 1

Существует две возможные причины, по которым пользователи не могут дать согласие на User.Read :

1. Согласие пользователя отключено или ограничено. Каждый клиент может отключить или ограничить согласие пользователя на приложения. Например, в арендаторе, где пользовательское согласие отключено, пользователи не могут дать любое разрешение.

   Azure AD > Корпоративные приложения > Настройки пользователя > Пользователи могут согласиться на приложения ...

2. Приложение требует назначения. Когда приложение настроено так, чтобы требовать, чтобы пользователи могли выполнять вход, пользователям не разрешается давать согласие на это приложение.

   Azure AD > Корпоративные приложения > (выберите приложение)> Свойства > Требуется назначение пользователя?

Answer 2

Наиболее вероятные причины любой разрешенной администратором проблемы,

1. Разрешения только для приложений всегда требуют арендатора согласия администратора . Если ваше приложение запрашивает разрешение только для приложения и пользователь пытается войти в приложение, отображается сообщение об ошибке, в котором говорится, что пользователь не может дать согласие.
2. Для некоторых делегированных разрешений также требуется согласие администратора арендатора. , Например, для возможности обратной записи в Azure AD как зарегистрированный пользователь требуется согласие администратора арендатора.

Возможные решения,

1. Параметр prompt = admin_consent (который запрашивает разрешения у администратора) можно использовать в качестве параметра в запросе авторизации OAuth2 / OpenID Connect для предоставления согласия администратора.
2. Включите рабочий процесс согласия администратора , который дает конечным пользователям возможность запрашивать доступ к приложениям, требующим согласия администратора.
3. См. Документацию по разрешениям для Microsoft Graph API, чтобы указать, какие разрешения требуется согласие администратора.

Для получения более подробной информации см. конечную точку согласия администратора .