登录到应用程序时出现的意外许可提示

与 Microsoft Entra ID 集成的许多应用程序需要获取访问各种资源的权限才能正常运行。 当这些资源也与 Microsoft Entra ID 集成时,使用 Microsoft Entra 同意框架来请求访问它们的权限。 这些请求会导致首次使用应用程序时显示同意提示,这通常是一次性操作。

在某些情况下,当用户尝试登录时,可能会出现其他同意提示。 在本文中,我们会诊断出现意外同意提示的原因,以及如何进行故障排除。

可能在各种情况下出现其他提示:

  • 应用程序已配置为需要分配。 需要分配的应用目前不支持个人用户同意;因此必须由管理员为整个目录授予权限。 如果将应用程序配置为需要分配,还务必要授予租户范围的管理员同意,这样,分配的用户才能够登录。

  • 应用程序所需的权限集已由开发人员更改,需要重新授予。

  • 最初向应用程序授予同意的用户并不是管理员,现在,其他(非管理员)用户在首次使用该应用程序。

  • 最初向应用程序授予同意的用户是管理员,但他们不是代表整个组织同意。

  • 最初授予同意后,应用程序使用增量和动态同意请求其他权限。 增量和动态同意通常在以下情况下使用:应用程序的可选功能需要超出基线功能所需权限以外的权限。

  • 已在最初授予许可后将其吊销。

  • 开发人员已对应用程序作了如下配置:每次使用时都需要同意提示(注意:此行为并非最佳做法)。

    注意

    许多组织已经按照 Microsoft 的建议和最佳做法禁用或限制了用户向应用授予同意的权限。 如果应用程序强制用户在每次登录时都授予同意,将会阻止大多数用户使用这些应用程序,即使管理员授予租户范围的管理员同意。 如果遇到在已经授予管理员同意后仍要求用户同意的应用程序,请咨询应用发布者,以了解他们是否有设置或选项可用于停止强制用户在每次登录时都同意。

提示

本文中的步骤可能因开始使用的门户而略有不同。

疑难解答步骤

比较请求的权限和授予应用程序的权限

为确保授予应用程序的权限是最新的,可将应用程序请求的权限与租户中已授予的权限进行比较。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
  3. 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
  4. 在左侧导航栏中的“安全性”下,选择“权限”
  5. 从“权限”页上的表中查看已授予权限的列表
  6. 若要查看请求的权限,请选择“授予管理员同意”按钮。 这会打开一个同意提示,其中列出了所有请求的权限。 除非确定要授予租户范围的管理员同意,否则请勿在许可提示中选择“接受”。
  7. 在同意提示中,展开列出的权限并与权限页上的表进行比较。 如果同意提示中的任何权限不存在于权限页中,则表示尚未同意该权限。 未同意的权限可能是为应用程序显示意外同意提示的原因。

查看用户分配设置

如果应用程序需要分配,则个人用户不能自行同意。 若要检查应用程序是否需要分配,请执行以下操作:

  1. 在应用程序的“概述”页上的“管理”下,选择“属性”。
  2. 检查“需要分配?”是否设置为“是”。
  3. 如果设置为“是”,则管理员必须代表整个组织同意权限。

每个组织可以配置个人用户是否可以同意应用程序,配置方式因目录的不同而异。 即使默认情况下每个权限不需要管理员同意,但组织可能已完全禁用用户同意,从而会阻止个人用户自行同意应用程序。 若要查看组织的用户同意设置,请执行以下操作:

  1. 导航到 Microsoft Entra 管理中心的“企业应用程序”页。
  2. 在“安全性”下选择“同意和权限”。
  3. 查看用户同意设置。 如果设置为“不允许用户同意”,则用户永远无法代表自己对应用程序授予同意。

后续步骤