Azure Active Directory (Azure AD) は、 Microsoftが提供しているクラウドベースのID、およびアクセス管理サービスです。組織のユーザーがサインインしてLMS365などのリソースにアクセスするのをサポートします。
すべてのリソースとデータにアクセスするためには、ユーザーと管理者による同意が必要です。
サインイン後、ユーザーに同意の画面を表示するかどうかは、自動的に判断されます。
同意には、主に2つのタイプがあります。
静的なユーザーの同意:これは、ユーザーが必要なコンテンツにアクセスする際の承認時に発生します。
管理者の同意:これは静的なユーザー同意の直後に発生します。このタイプの同意は、Office 365 グローバル管理者が、LMS365アプリケーションが必要とする権限の一覧を承認する必要があります。
同意の受け入れ(事前同意)
Office 365グローバル管理者は、LMS365がユーザーに同意を求めることなく、LMS365アプリが定義したすべてのリソースにアクセスできるよう、ユーザーに代わり、LMS365に同意を付与する必要があります。
また、ユーザーが同意を提供できない場面(例えば、SharePoint Onlineのユーザーリストやライブラリへのアクセスなど)のブロックを解除することができます。LMS365 がサポートするアクセススコープについては、データアクセス(アプリケーションの許可と権限の委任)をご覧ください。
なぜユーザーの同意が必要なのか?
アプリが、Office 365 の特定のデータにアクセスする(が必要ある)度に、最初にそのデータへのアクセス許可をユーザーに要求する必要があります。
そのため、例えばアプリがSharePointからデータを読み取りたい場合、SharePoint内のユーザーのデータにアクセスすることが許可されているかどうかをユーザーに尋ねる必要があります。
例えば、アプリがSharePointからデータを読み取りたい場合、SharePoint内のユーザーのデータへのアクセスが許可されているかどうかをユーザーに確認することは必要となります。
ユーザーは、SharePoint内の自分のデータへのアクセスに同意することで、これを許可することができます。この同意のプロセスは、データソース(この場合は Office 365)によって提供されます。
なぜ管理者は「管理者の同意」を提供する必要があるのか?
LMS365 に管理者の同意を与えることで、そのテナント内のすべてのユーザーは、毎回同意を受け入れる必要がなくなります。
これにより、各ユーザーが個々のリソースに対して個別に同意する必要がなくなり、生産性が向上します。
LMS365 に管理者同意を提供することで、管理者はその Office 365 テナント内のすべてのユーザーが毎回同意を受け入れる必要がなくなり、各ユーザーは各リソースに対して個別に同意する必要がなくなるため、簡単に学習にアクセスすることができます。また、LMS365との相互作用の中で直面する個別の同意ついて、ユーザーからの問い合わせを軽減することができます。
管理者の同意によるリスクはありますか?
「管理者の同意」を提供することによるリスクは、現状ありません。お客様が、管理者の同意を取り消したい場合は、Azure ADポータルを使用していつでも取り消すことができます。
すべての組織で管理者の同意を行う必要がありますか?
大規模な組織であれば、Office 365 の各データリソースに対して、アプリがユーザーのデータにアクセスする度に、毎回ユーザーが個別に同意しなければならないことに煩わしさを感じると思われます。
また、管理者の同意はコスト面でもメリットがあり、各ユーザーが必要なリソースにあらかじめ同意しておくことで、数分の時間を節約することができます。したがって、基本的には組織の規模が大きくなればなるほど、管理者の同意を行うことの価値は高まります。ですが、ユーザーの利便性向上のためにも、すべての規模の組織でこれを行うことをお勧めします。
管理者の同意はどのように提供するのですか?
LMS365をAppSource ポータルからインストールする場合、インストール時とコースカタログへの初回アクセス時に同意を求められます。
既存のクラシックアドインのインストールで管理者の同意を承諾する場合は、https://lms.365.systems にアクセスすると、同意を求められます。
管理者は すべての項目に同意する必要がありますか?
お客様の組織では、管理者の同意、とりわけ「すべてのサイトコレクションのフルコントロール」の同意の受け入れに疑惧されると思われます。ですが、現在のMicrosoft Azure ADアーキテクチャでは、管理者の同意を適用する同意フローは1つに限定されており、弊社としては、すべてのお客様に対して1つのフローしかご提供することができません。
しかしながら、この同意は「権限の委譲」であり、LMS365を使用するユーザーが直接SharePointで行えること以上のデータにアクセスしたり、SharePointを管理することはできないことにご留意ください。
言い換えれば、同意には「フルコントロールを持つ」とありますが、それはユーザーがすでに持っている権限以上のものではないということです。
現在、Microsoft社と共同で、すべてに同意することを強制されることなく、より細かく調整された範囲での使用を可能にするよう、このシナリオの改善に積極的に取り組んでいます。
Azure portalで同意を管理する
https://portal.azure.com > 「エンタープライズアプリケーション」にアクセスして、既にLMS365 アプリに付与されている権限を確認できます。また、ここで、LMS365 アプリの許可を取り消すこともできます。