我们有一个用于对 API 进行身份验证的 Azure AD 应用。我们使用 offline_access、openid、profile、User.Read 等权限,并且已经授予管理员同意。这自 1 年以来一直有效,没有任何问题。本周,我们收到了 4-5 位外部用户抱怨错误:
<块引用>需要管理员批准
应用需要获得访问您组织中资源的权限 只有管理员可以授予。请让管理员授予权限 使用此应用之前。
它与来自特定组织的特定外部用户无关,来自同一组织的其他用户不会收到此错误。
此错误仅针对新的外部用户发生,我们尚未收到来自现有外部用户的任何问题。
管理员在报告错误后再次授予管理员许可,但用户仍然收到相同的错误消息。
我遇到了一些其他问题,但出现了同样的错误。但是由于配置自去年以来一直在工作,我有点困惑。在此期间,我们有很多外部用户,没有任何问题。
我应该检查什么配置来解决这个问题?或者 Azure AD 默认设置是否有任何更新?
答案 0 :(得分:1)
检查是否允许用户同意应用程序访问公司数据 他们的代表在企业应用程序用户设置中设置为否。
如果设置为 No 那么请将其切换为 yes 。这个选项让用户 由他们自己决定是否要授予对给定应用程序的访问权限 组织中的每个人。
来自微软官方文档:如果这个选项是 设置为 yes,则用户可能同意允许应用程序 不是由 Microsoft 发布以访问您组织的数据,如果 用户还可以访问数据。这也意味着, 用户将在其访问面板上看到这些应用程序。如果这个选项 设置为 no,那么管理员必须先同意这些应用程序 用户可以使用它们。
检查是否允许用户请求管理员同意他们的应用程序 无法同意设置为否。
如果设置为否,则切换它 也是。如果您的组织决定用户确实必须 有明确的批准,此选项使这些用户可以轻松地 请求批准。
要启用此选项,请单击用户设置(相同 如上一个词干),然后将管理员同意请求切换为 “是的”。确保保存您的更改,这可能需要几分钟时间 传播。
来自 Microsoft 文档:如果此选项设置为是,
然后用户请求管理员同意任何需要访问权限的应用程序
他们无权授予的数据。如果这个选项是
设置为否,则用户必须联系他们的管理员请求同意
以便使用他们需要的应用。
注意:如果此设置是从您的 APP 租户完成的,请同时检查外部用户租户,因为这需要从他们的 一边以及尝试使用该应用程序时,您的应用程序将检索 来自用户租户的用户个人资料等。
将优先级矩阵添加为企业应用程序(组织范围)
如果你 AAD 管理员决定您组织中的每个人都应该 访问优先矩阵,他们可以按照以下步骤操作:
来自 “企业应用”视图,点击所有应用
选择 + 使用 Azure AD 设置优先级矩阵的新应用程序 身份验证
搜索“Priority Matrix”并继续配置 带有 AD 认证的应用
注意:如果您仍然遇到问题,请点击(帮助+支持)联系 Azure 支持工程师以获得协助支持 并创建技术支持请求,因为它可能需要实时故障排除。