为什么需要管理员同意才能获得权限[已关闭]

为什么我需要为不需要的权限授予“默认目录的管理员同意”？

直接回答：您（通常）不需要授予管理员同意权限；您只需选择这样做即可。

Admin consent required

 值 

 的权限不需要...好吧...需要管理员同意才能成功使用...但是，除了（至少）两种情况：

1. 您的 Entra ID 配置禁止用户单方面同意必要的权限。对于任何规模的组织来说，这是一种常见（且经常推荐）的安全配置，有助于防止内部数据泄露给不道德的第三方应用程序。

   当此配置设置为默认“

   允许用户同意应用程序”以外的其他设置时，即使您提供的屏幕截图中列出的视图中列出的权限也必须需要租户管理员的某种预先批准才能使用。

   您还应该看到“

   配置的权限”视图上方的蓝色信息横幅，它恰好涉及到这一点：

   “需要管理员同意”列显示组织的默认值。但是，可以根据权限、用户或应用程序自定义用户同意。此列可能无法反映您的组织或将使用此应用程序的组织的价值。

2. 您的 Entra ID 配置允许用户同意必要的权限，但您的应用程序有 UX 要求，不允许向用户显示同意对话框。 在更宽松的环境中，委派权限要求用户明确允许您的应用程序访问首次与应用程序交互时（或应用程序请求的范围更改后）代表他们的关联范围。

   通过向管理员授予对权限或权限集的同意，您实际上已代表用户“预先同意”，因此登录时不需要显示权限请求插页式广告。来自

   Entra ID 的文档页面 Microsoft 身份平台中的权限和同意概述：

   用户同意

   当用户尝试登录应用程序时，即表示用户同意。用户提供其登录凭据，系统会检查这些凭据以确定是否已获得同意。如果以前不存在用户或管理员对所需权限的同意记录，则会向用户显示同意提示，并要求向应用程序授予所请求的权限。管理员可能需要代表用户授予同意。

   您所指的管理员同意授予不会覆盖向拥有您拥有管理权限的目录之外的帐户的用户显示的插页式广告。对于来自其他 Entra ID 租户的用户，该租户中的管理员必须在租户范围内同意您的应用程序请求的权限，以实现相同的效果。如果您对非企业用户使用 Entra ID 身份验证（即，对可公开访问的应用程序进行 Microsoft 帐户身份验证），则无法以相同的方式绕过此插页式广告。