管理者の同意

  • 更新

Microsoft Entra ID(Azure Active Directory)は、 マイクロソフトのクラウドベースのIDおよびアクセス管理サービスで、組織のユーザーのサインインと、LMS365などリソースへのアクセスをサポートします。

 

Consent.png

すべてのリソースとデータにアクセスするためには、ユーザーと管理者による同意が必要です。
サインイン後、ユーザーに同意の要求するかどうかは自動的に判断されます。

同意には、主に2つのタイプがあります。

静的なユーザーの同意:これは、ユーザーが必要なコンテンツにアクセスする際の承認時に発生します。

管理者の同意:これは静的なユーザー同意の直後に発生します。このタイプの同意は、Microsoft 365 グローバル管理者が、LMS365アプリケーションが必要とする権限の一覧を承認する必要があります。

 

同意の受け入れ(事前承認)

Microsoft 365グローバル管理者は、LMS365がユーザーに同意を求めることなく、LMS365アプリが定義したすべてのリソースにアクセスできるよう、各ユーザーに代わり、LMS365に同意を付与する必要があります。

また、ユーザーが同意を提供できない場面(例えば、SharePoint Onlineのユーザーリストやライブラリへのアクセスなど)のブロックを解除することができます。LMS365がサポートするアクセススコープについては、データアクセス(アクセス許可と同意)をご参照ください。

なぜユーザーの同意が必要なのか?

アプリが、Office 365 の特定のデータにアクセスする/アクセスが必要であるとき、それが初回であれば、その都度そのデータへのアクセス許可をユーザーに要求する必要があります。

例えば、アプリがSharePointからデータを読み取りたい場合、SharePoint内のユーザーのデータにアクセスすることを許可するかどうかをユーザーに尋ねます。

ユーザーは、SharePoint内の自分のデータへのアクセスを承諾することでこれに同意することができます。この同意のプロセスは、データソース(この場合は Office 365)によって提供されます。

なぜ管理者は「管理者の同意」を提供する必要があるのか?

管理者は、LMS365に「管理者の同意」を提供することにより、Office 365テナント内のすべてのユーザーが、毎回同意を承諾することを取り除くことができます。

各ユーザーは個々のリソースに対して個別に同意を承諾する必要がなく、生産性の向上にもつながります。

また、ユーザーがLMS365とのインタラクション中に直面する同意要求への問い合わせに対処することも少なくなります。

管理者の同意を付与するリスクはありますか?

現在のところ「管理者の同意」を提供することによるリスクはありません。お客様が、管理者の同意を取り消したい場合は、Azure ADポータルを使用していつでも取り消すことができます。

すべての組織で管理者の同意を行う必要がありますか?

大規模な組織であれば、Office 365 の各データリソースに対して、アプリがユーザーのデータにアクセスする度に、毎回ユーザーが個々に同意しなければならないのは面倒と思われます。

管理者の同意を受け入れることは経済的な意味でもメリットがあります。必要なリソースにあらかじめ同意しておくことで、各ユーザーが費やすわずかな数分を合計すれば、組織の時間を大幅に節約することができるからです。

基本的には組織の規模が大きくなればなるほど、管理者の同意を行うことの価値は高まります。しかしながら、ユーザーの利便性向上のためにも、すべての規模の組織でこれを行うことをお勧めします。

管理者の同意はどのように提供するのですか?

LMS365をAppSource ポータルからインストールする場合、インストール時とコースカタログへの初回アクセス時に同意を求められます。

既存のクラシックアドインのインストールで管理者の同意を承諾する場合は、https://lms.365.systems にアクセスすると、同意を求められます。

管理者は すべての項目に同意する必要がありますか?

お客様の組織では、管理者の同意、とりわけ「すべてのサイトコレクションのフルコントロール」の同意の受け入れに疑惧されると思われます。ですが、現在のMicrosoft Azure ADアーキテクチャでは、管理者の同意を適用する同意フローは1つに限定されており、弊社としては、すべてのお客様に対して1つのフローしかご提供することができません。
しかしながら、この同意は「権限の委譲」であり、LMS365を使用するユーザーが直接SharePointでアクセス可能なデータ以外へのアクセスや、SharePointを管理することはできないことにご留意ください。
言い換えれば、同意には「フルコントロールを持つ」とありますが、それはユーザーがすでに持っている権限以上のものではないということです。

現在、Microsoft社と共同で、すべてに同意することを強制されることなく、より細かく調整された範囲での使用を可能にするよう、このシナリオの改善に積極的に取り組んでいます。

 

Azure portalで同意を管理する

https://portal.azure.com > 「エンタープライズアプリケーション」にアクセスして、既にLMS365 アプリに付与されている権限を確認できます。また、ここで、LMS365 アプリの許可を取り消すこともできます。