検索

管理者の同意

  • 更新

Microsoft Entra ID(Azure AD)は、Microsoft のクラウドベースの ID およびアクセス管理サービスで、従業員がサインインして Learn365 などリソースへのアクセスのサポートします。

Admin-Consent-diagram 1.jpg

 

すべてのリソースとデータへのアクセスを取得するには、ユーザーと管理者は要求された同意を承諾します。
サインインプロセスの後、ユーザーに同意ページを表示するかどうかは自動的に判断されます。

同意には、主に次の2つのタイプがあります。

  • 静的なユーザーの同意:これは、ユーザーが必要なコンテンツにアクセスする際の承認時に発生します。
  • 管理者の同意:これは静的なユーザー同意の直後に発生します。このタイプの同意は、Microsoft 365 グローバル管理者が、Learn365 アプリケーションが必要とするアクセス許可のリストを承認する必要があります。

 

同意の受け入れ(事前承認)

Microsoft 365 グローバル管理者は、Learn365 がユーザーに同意を求めることなく、各ユーザーに代わって Learn365 アプリが定義されたすべてのリソースにアクセスできるように、Learn365 に同意を付与する必要があります。

また、SharePoint Online のユーザーのリストやライブラリへのアクセスなど、ユーザーが同意を提供できないケースのブロックを解除します。Learn365 がサポートするアクセス スコープについては、データアクセス(アクセス許可と同意)を参照してください。

ユーザー同意を提供する目的

アプリが、Microsoft 365 の特定のデータに初めてアクセスしたい(アクセスが必要な)場合、そのデータにアクセスするためのアクセス許可をユーザーに求める必要があります。

例えば、アプリが Share Point からデータを読み取りたい場合、Share Point 内のユーザー データへのアクセスを許可するかどうかをユーザーに尋ねます。

ユーザーは、SharePoint 内の自分のデータへのアクセスを承諾することで、これに同意することができます。この同意のプロセスは、データソース(この場合は Microsoft 365)によって提供されます。

管理者が「管理者の同意」を提供する目的

管理者は、Learn365 に「管理者の同意」を提供することにより、Microsoft 365 テナント内のすべてのユーザーは、その都度、同意を承諾する必要がなくなります。各ユーザーが、それぞれのリソースに対して個々に同意する手間が省け、生産性が向上します。

また、ユーザーが Learn365 とのインタラクション中に、同意を要求されることも少なくなります。

管理者の同意の付与によるリスクは?

弊社は、管理者の同意の提供によるいかなるリスクも、実際に特定することはできません。

管理者の同意を取り消したい場合は、Microsoft Azure ポータルからいつでも取り消すことができます。

管理者の同意の必要性

大規模な組織であれば、Microsoft 365 の各データリソースに対して、アプリがユーザーデータにアクセスするために、その都度、ユーザーが同意を承諾するのは煩わしいと思われます。

管理者の同意は経済的な意味でもメリットがあります。必要なリソースにあらかじめ同意しておくことで、各ユーザーが費やすわずかな数分を合計すれば、時間を大幅に節約することができるからです。

基本的には組織の規模が大きくなればなるほど、管理者の同意を行うことの価値は高まります。しかしながら、ユーザーの利便性向上のためにも、すべての組織でこれを行うことをお勧めします。

管理者の同意を提供するには

同意の提供には2つの方法があります。

  • Learn365(Modern)を App Source ポータルからインストールする場合、インストール中およびコースカタログを最初に使用するときに同意を求められます。
  • 既存のクラシック アドイン インストールの場合は、「https://lms.365.systems」にアクセすると同意を求められます。

すべてのスコープに同意できない場合

組織では、管理者の同意、特に「Have full control of all site collections」を受け入れたくない場合があることは承知しています。しかしながら、現在、Microsoft Entra ID(Azure AD)アーキテクチャでは、管理者の同意を提供する同意フローは1つに限定されており、アプリの開発者は、すべてのお客様に対して1つの同意フローしか提供することができません。

ただ、ここで注目していただきたいのは、この同意は 「委任」 であり、Learn365 を使用しているユーザーがデータにアクセスしたり、SharePoint を直接管理したりすることはできないということです。

つまり、同意には「フルコントロールを持つ」とありますが、それはユーザーがすでに持っているコントロール(権限)以上のものではないということです。

現在のようにすべてに同意することなく、より細かく調整されたスコープを使用できるようにするため、弊社は Microsoft と協力しこの同意の改善に積極的に取り組んでいます。

 

Azure portal での同意の管理

Learn365 アプリに付与されているアクセス許可は、Azure portal で確認できます。

Azure portal(https://portal.azure.com )にアクセスし、「エンタープライズアプリケーション」で Learn365 アプリを選択し、アクセク許可を確認できます。必要に応じて、ここで Learn365 アプリに付与されているアクセク許可を取り消すこともできます。