検索

管理者の同意(Admin Consent)

  • 更新

Microsoft Entra ID(旧称 Azure AD)は、従業員がサインインしてLearn365などのリソースにアクセスできるようにする、Microsoftのクラウドベースのアイデンティティおよびアクセス管理サービスです。

Admin-Consent-diagram 1.jpg

 

すべてのリソースやデータにアクセスするには、ユーザーおよび管理者によって受け入れられる「同意(アクセス許可)」が必要になります。サインインプロセスの後、ユーザーに同意ページを表示するかどうかは自動的に判断されます。

同意には主に以下の2つのタイプがあります。

  • 静的なユーザーの同意:ユーザーが必要なコンテンツにアクセスする際の、、初回認証時に発生します。
  • 管理者の同意:静的なユーザーの同意に代わり、または静的ユーザー同意の前後に管理者が一括で行う同意です。このタイプの同意では、Microsoft 365 グローバル管理者が、Learn365アプリが要求するアクセス許可(権限)の一覧を承認する必要があります。

同意の受け入れ(事前承認)

Microsoft 365 グローバル管理者が Learn365への同意を事前に付与することにより、Learn365アプリは各ユーザーに代わって、定義されたすべてのリソースへのアクセスが可能になります。これにより、一般ユーザーが利用する際、その都度同意を要求されることはなくなります。さらに、SharePoint Online内のユーザーリストやライブラリへのアクセスなど、エンドユーザーの権限では同意できないケースでも、その制限を解除することが可能です。

Learn365アプリが必要とするアクセス権限の範囲については、「データへのアクセス(アプリケーション権限と委任された権限)」をご参照ください。

なぜ「ユーザー同意」を提供するのか?

アプリがMicrosoft 365内の特定のデータに初めてアクセスする際、初回のみユーザーにアクセス許可を求める必要があります。

たとえば、アプリがSharePointのデータを読み込む場合、ユーザー自身のデータへのアクセスを許可するかどうかの確認が行われます。ユーザーが画面上で同意(アクセスの許可)を付与することで承認されます。

この同意プロセスはデータソース(この場合はMicrosoft 365)によって提供されています。

なぜ「管理者の同意」を提供するのか?

管理者がLearn365アプリに「管理者の同意」を提供することで、Microsoft 365テナント内のすべてのユーザーがリソースごとに同意する必要がなくなります。

これにより、ユーザーが利用する際の手間が省けて生産性が向上するだけでなく、管理者側にとっても、同意に関するユーザーからの質問や問い合わせを減らせるというメリットがあります。

「管理者の同意」を提供することによるリスクは?

管理者同意を提供することによるリスクは、実質的には何も特定されていません。

もし管理者同意を取り消したい場合は、いつでもMicrosoft Azure Portalを使用して同意を無効化(取り消し)することができます。

すべての組織で「管理者の同意」を提供する必要があるか?

規模の大きな組織の場合、すべてのユーザーがMicrosoft 365のデータリソースごとにアプリのアクセスを個別に同意しなければならないのは煩わしいと感じるかもしれません。

管理者同意を受け入れることは経済的な側面もあります。ユーザーが事前に同意されたリソースを利用することで節約できる数分間を組織全体で合算すると、かなりの時間を節約できます。

そのため、基本的には組織の規模が大きければ大きいほど、管理者同意を行う価値は高くなります。しかし、ユーザーの生産性が向上するため、あらゆる規模の組織でこれを行うことをお勧めします。

管理者が「管理者の同意」を提供するには?

同意を提供する方法2つあります。

  • App SourceからLearn365アプリ(Modern)をインストールする場合、インストール中およびコースカタログを最初に使用するときに同意を要求されます。
  • 既存のクラシックアドインのインストールでは、https://lms.365.systems にアクセスすると同意を要求する画面が表示されます。

すべてのスコープに同意できない場合は?

組織によっては、セキュリティポリシーの観点から、管理者の同意、特に「Have full control of all site collections」を受け入れたくない場合があるかと思います。現在、管理者同意を提供するMicrosoft Entra ID(Azure AD)アーキテクチャは、1つの同意フローに限定されているため、アプリの開発者は、すべてのお客様に対して1つの同意フローしか提供することができません。

ただし、この同意は「委任された権限」であることにご留意ください。つまり、Learn365を利用するユーザー自身が SharePoint上で直接持っている権限を超えてデータにアクセスしたり、管理したりすることはできません。つまり、同意画面に「フルコントロール」と表示されていても、そのユーザー自身の権限以上のことはできないようになっています。

現在は仕様上、一括での同意が必要となっていますが、今後はより細かい権限設定(スコープ)を選択できるよう、Microsoftと協力して改善を進めています。

Azure portal での同意の管理

Learn365アプリに付与されているアクセス許可は、Azure portalで確認できます。

Azure portal(https://portal.azure.com )にアクセスし、「エンタープライズアプリケーション」で Learn365アプリにどのようなアクセス許可(権限)が付与されているかを確認できます。

また、必要に応じて、ここからLearn365アプリに付与されているアクセス許可(権限)を取り消すことも可能です。