Konfigurace způsobu vyjadřování souhlasu uživatelů s aplikacemi

  • Článek

V tomto článku se dozvíte, jak nakonfigurovat způsob, jakým uživatelé souhlasí s aplikacemi, a jak zakázat všechny budoucí operace souhlasu uživatelů s aplikacemi.

Aby mohla aplikace získat přístup k datům vaší organizace, musí jí k tomu uživatel udělit oprávnění. Různá oprávnění umožňují různé úrovně přístupu. Ve výchozím nastavení můžou všichni uživatelé udělit aplikacím souhlas s oprávněními, která nevyžadují souhlas správce. Ve výchozím nastavení může uživatel například udělit souhlas s povolením přístupu aplikace ke své poštovní schránce, ale nemůže udělit souhlas s povolením nefetterovaného přístupu aplikace ke čtení a zápisu do všech souborů ve vaší organizaci.

Pokud chcete snížit riziko škodlivých aplikací, které se pokoušejí oklamat uživatele, aby jim udělily přístup k datům vaší organizace, doporučujeme povolit souhlas uživatele jenom pro aplikace publikované ověřeným vydavatelem.

Požadavky

Ke konfiguraci souhlasu uživatele potřebujete:

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Konfigurace nastavení souhlasu uživatele prostřednictvím Centra pro správu Microsoft Entra:

  1. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator.

  2. Přejděte na Nastavení souhlasu a oprávnění>uživatele k vyjádření souhlasu podnikových>aplikací>identit.>

  3. V části Souhlas uživatele pro aplikace vyberte, které nastavení souhlasu chcete nakonfigurovat pro všechny uživatele.

  4. Vyberte Uložit a nastavení se uloží.

Screenshot of the 'User consent settings' pane.

Pokud chcete zvolit, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace, můžete použít modul Microsoft Graph PowerShell . Rutiny použité tady jsou součástí modulu Microsoft.Graph.Identity.SignIns .

Připojení do Prostředí Microsoft Graph PowerShell

Připojení do Prostředí Microsoft Graph PowerShell pomocí oprávnění s nejnižšími oprávněními, které potřebujete. Pro čtení aktuálního nastavení souhlasu uživatele použijte Policy.Read.All. Ke čtení a změně nastavení souhlasu uživatele použijte Policy.ReadWrite.Authorization. Musíte se přihlásit jako globální Správa istrator.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID Popis
Microsoft-user-default-low Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění
Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy Povolit souhlas uživatele pro aplikace
Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud například chcete povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, spusťte následující příkazy:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Pomocí Graph Exploreru vyberte, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace. Musíte se přihlásit jako globální Správa istrator.

Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID Popis
Microsoft-user-default-low Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění
Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy Povolit souhlas uživatele pro aplikace
Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud chcete například povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, použijte následující příkaz PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Tip

Pokud chcete uživatelům umožnit požádat správce o kontrolu a schválení aplikace, ke které uživatel nemá souhlas, povolte pracovní postup souhlasu správce. Můžete to udělat například v případě, že byl zakázán souhlas uživatele nebo když aplikace požaduje oprávnění, která uživatel nemůže udělit.

Další kroky