如何設定讓一般使用者在透過Azure AD登入App時,有權限可以去同意要求的權限

問題

在 Microsoft Entra ID 的 應用程式註冊 (App Registrations)設定好後,
一般使用者要透過 Azure AD 登入時,會出現需要管理員核准,如下,

要怎麼設定才可以讓一般使用者可以自行去同意呢?

解法

到 Microsoft Entra ID=>Enterprise applications=>Consent and permissions(在 Security 區段)
原本設定的值是Do not allow user consent,所以才會需要管理員核准
所以可以將它改成Allow user consent for apps from verified publishers, for selected permissions (Recommended)
或是Allow user consent for apps,如下圖,

注意事項

1.在 應用程式註冊 (App Registrations) 中 App 的 API permissions 如果需要管理員 Grant 的,要先請管理員去 Grant. Redirect URIs 也要設定

2.有些 App 如果在Enterprise applications找不到,請在應用程式註冊 (App Registrations) 中 App 的 Overview ,Managed application in local directory點選Create Service Principal去建立

3.如果 App 有在Enterprise applications中,但它的Application type不是Enterprise Applications,請在Enterprise applications中將它刪除,再執行上述第 2 點重新建立它就可以了

  • 註: 在 應用程式註冊 (App Registrations) 中 App 的 API permissions 如果需要管理員 Grant ,而沒有 Grant 在登入時,也會出現需要管理員核准的訊息。

參考資源

App Registration vs Enterprise Applications
Application and service principal objects in Microsoft Entra ID

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw