Azure AD多租户环境中是否始终需要管理员同意？

环境是以多租户方式配置的。”AppName'是一个应用程序注册在一个公共广告中，该广告是专门为不同租户的用户提供单一环境的访问权限而创建的。为了便于描述，请致电多租户AD1、AD2和AD3

当来自其中一个广告（没有管理员权限）的用户首次登录时，将显示此消息

AppName需要权限才能访问组织中只有管理员才能授予的资源

此外，在应用程序异常日志中，我可以看到以下错误

Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolException:“OpenIdConnectMessage.Error不是null，表示错误。错误：“访问被拒绝”。错误描述（可能为空）：'AADSTS650056:应用程序配置错误。这可能是由于以下原因之一：客户端未在客户端的应用程序注册中的请求权限中列出“AAD Graph”的任何权限。或者，管理员未在租户中同意。或者，检查请求中的应用程序标识符以确保其与配置匹配d客户端应用程序标识符。请联系您的管理员以修复配置或代表租户同意

前提是AD1的用户要成功访问环境，AD1的管理员用户必须首先登录并授予管理员访问权限。 “普通广告”应用程序注册配置如下

应用程序注册中支持的帐户类型选项设置为

任何组织目录中的帐户（任何Azure AD目录-多租户）

唯一的API权限如下图所示。状态“已授予…”仅指租户ID所在的“公共广告”-它不向任何广告授予管理员许可

代码中使用的技术是带有OpenIDConnect的ADAL.Net。我们使用的是：（V1.0）端点

在下面显示的代码段中，在本例中，找到了唯一设置的API权限。.“需要管理员同意”设置为“否”

---

这就是让我感到不快的原因。为什么会弹出消息/错误？因为这是一个多租户的场景，所以总是需要管理员同意吗？这种管理员同意是否在普通广告和多租户广告之间建立了信任？

是的。在多租户的情况下，管理员需要加入他们的租户。仅y在登录过程结束后，用户可以登录。此外，屏幕截图中显示的管理员同意与租赁类型无关或不相关，它是特定于权限的。应用程序权限和某些委托权限需要管理员同意

---

感谢您的回复。我接受它作为答案。我是否可以补充一点，Azure Portal/Active Directory/Enterprise Applications/User Settings中有一个设置，您可以允许域中的用户自行同意（在用户级别）。感谢您接受此作为答案。您是在说““用户可以同意应用程序代表他们访问公司数据”设置？我想这默认设置为“是”，并且仍然需要管理员才能加入租户。@RohanNevrikar我在哪里可以找到此“入职流程”的文档？或者此“流程”是否意味着管理员必须先尝试登录，在登录期间，他/她然后才能授予许可（或拒绝）同意？@RickHayek是的，您是对的，这里的入职流程意味着管理员需要首先登录，在此期间，他们可以授予/拒绝管理员同意，并且只有在此之后，用户才能登录。您可以参考此答案的第二个链接了解更多有关流程的信息。