管理者の同意

  • 更新

Azure Active Directoryは、Microsoftが提供するクラウドベースの ID およびアクセス管理サービスで、ユーザーがLMS365などのリソースにサインインしてアクセスするためのものです。

Consent.png

すべてのリソースとデータにアクセスするには、ユーザーと管理者による同意が必要がです。サインインの後、ユーザーに同意ページを表示する必要があるかどうか自動的に判断されます。同意には大きく分けて2種類あります。

  • 静的なユーザーの同意:これは、ユーザーが必要なコンテンツにアクセスする際の承認時に発生します。
  • 管理者の同意:これは静的なユーザー同意の直後に発生します。管理者の同意では、Office 365 グローバル管理者が、LMS365 アプリが必要とする権限のリストを承認する必要があります。

同意の受け入れ(Pre-Consenting):

Office 365 グローバル管理者が LMS365 に同意を与えることで、LMS365 がユーザーに同意を求めることなく、LMS365 アプリが各ユーザーに代わって定義されたすべてのリソースにアクセスできるようになります。
さらに、SharePoint Onlineのユーザーのリストやライブラリへのアクセスなど、ユーザーが同意を提供できないシナリオもブロック解除されます。LMS365がサポートするアクセススコープについては、こちらのデータアクセス(権限の委譲)でご確認ください。

ユーザーが同意を提供する理由:

アプリがOffice 365の特定のデータにアクセスしたい(またはアクセスする必要がある)場合、その都度、そのデータにアクセスするための許可をユーザーに求める必要があります。例えば、アプリがSharePointからデータを読み取りたい場合、SharePoint内のユーザーのデータへのアクセスが許可されているかどうかをユーザーに確認する必要があります。
ユーザーが、SharePoint内の自分のデータにアクセスすることに同意することで、これを許可することができます。
この同意の要求は、データソース(この場合はOffice 365)によって提供されます。

管理者が「管理者の同意」提供する理由:

LMS365 に管理者同意を提供することで、管理者はその Office 365 テナント内のすべてのユーザーが毎回同意を受け入れる必要がなくなり、各ユーザーが各リソースに対して個別に同意する必要がなくなるため、生産性が向上します。また、LMS365とのやりとりの中で直面する個別の同意要求への対応に対する、ユーザーからの質問が軽減されます。

同意によるリスク:

管理者の同意を提供することによるリスクは、実際には確認できません。管理者の同意を撤回したい場合は、Azure ADポータルを使っていつでも撤回することができます。

すべての管理者が同意を行うべきか?:

大規模な組織の場合、すべてのユーザーがOffice 365のデータリソースごとに、アプリがユーザーのデータにアクセスすることに対して、個別に同意しなければならないことに煩わしさを感じると思われます。
また、経済的な側面において、各ユーザーが必要なリソースを事前に同意しておくことで短縮できる時間を考慮すると、組織としては時間を大幅に節約できます。つまり、基本的には組織の規模が大きくなればなるほど、管理者の同意を行うことの価値は高まります。ユーザーの生産性向上のためにも、すべての規模の組織でこれを行うことをお勧めします。

管理者の同意を行う方法:

LMS365 (Modern) を AppSource ポータルからインストールする場合、インストール時とコースカタログへの初回アクセス時に同意を求められます。
既存のクラシックアドインのインストールで管理者の同意を得る場合は、https://lms.365.systems にアクセスすると、同意を求められます。

管理者として、すべてのスコープに同意したくない場合:

お客様の組織では、管理者の同意、特に「すべてのサイトコレクションのフルコントロール」という同意を受け入れたくない場合があることは承知しています。現在、管理者権限を提供するためのMicrosoft Azure ADアーキテクチャは、1つの同意フローに制限されています。つまり、LMS365(アプリの開発者)は、すべてのお客様に1つの管理者権限フローしか提供できません。

しかし、ここで注意していただきたいのは、この同意は「委譲」されたものであり、LMS365を使用しているユーザーは、ユーザーが直接SharePointで許可されている以上のこと(ータへのアクセスやSharePointの管理)はできません。言い換えれば、承諾書には「フルコントロール」と記載されていますが、ユーザーがすでに持っているコントロール以上のものではありません。

このシナリオを改善し、より細かく調整された範囲を使用できるようにするために、マイクロソフトと積極的に協力していますが、現状ではすべてに同意することを強制されることはありません。

Azure で同意の管理:

https://portal.azure.com > 「エンタープライズアプリケーション」にアクセスして、既にLMS365 アプリに付与されている権限を確認します。ここでは、LMS365 アプリの許可を取り消すこともできます。