Konfigurieren der Art und Weise, wie Endbenutzer Anwendungen zustimmen können

Sie können Ihre Anwendung in Microsoft Identity Platform integrieren, um Benutzern die Anmeldung mit ihrem Geschäfts-, Schul- oder Unikonto und Zugriff auf die Daten Ihrer Organisation zu ermöglichen, um umfassende datengesteuerte Erfahrungen zu bieten.

Bevor eine Anwendung auf die Daten Ihrer Organisation zugreifen kann, muss ein Benutzer der Anwendung eine entsprechende Berechtigungen erteilen. Unterschiedliche Berechtigungen erlauben verschiedene Zugriffsebenen. Standardmäßig sind alle Benutzer berechtigt, in Berechtigungen für Anwendungen einzuwilligen, die keine Administratoreinwilligung erfordern. Standardmäßig kann ein Benutzer beispielsweise einwilligen, dass eine App auf sein Postfach zugreifen kann, er kann aber nicht einwilligen, dass eine App uneingeschränkten Lese- und Schreibzugriff auf alle Dateien in Ihrer Organisation erhält.

Wenn Sie es Benutzern ermöglichen, Apps Zugriff auf Daten zu gewähren, können Benutzer problemlos nützliche Anwendungen abrufen und produktiv arbeiten. In einigen Situationen kann diese Konfiguration jedoch ein Risiko darstellen, wenn Sie nicht sorgfältig überwacht und gesteuert wird.

Wichtig

Um das Risiko zu verringern, dass böswillige Anwendungen versuchen, Benutzern den Zugriff auf Daten Ihrer Organisation zu gewähren, empfiehlt es sich, die Einwilligung des Benutzers nur für Anwendungen zuzulassen, die von einem verifizierten Herausgeber veröffentlicht wurden.

Richtlinien zur Einwilligung für die App beschreiben Bedingungen, die erfüllt werden müssen, bevor bei einer App eingewilligt werden kann. Diese Richtlinien enthalten möglicherweise Bedingungen für die App, die Zugriff anfordert, sowie die von der App angeforderten Berechtigungen.

Indem Sie auswählen, welche Richtlinien zur Einwilligung für die App für alle Benutzer gelten sollen, können Sie Grenzwerte im Hinblick darauf festlegen, wann Endbenutzer Einwilligung für Apps erteilen dürfen und wann sie zum Anfordern einer Überprüfung und Genehmigung durch den Administrator aufgefordert werden sollen:

  • Benutzereinwilligung deaktivieren: Benutzer können Anwendungen keine Berechtigungen erteilen. Benutzer können sich weiterhin bei Apps anmelden, in die sie zuvor einwilligt haben oder in die Administratoren in Ihrem Namen einwilligt haben. Sie sind jedoch nicht berechtigt, in neue Berechtigungen oder neue Apps eigenständig einzuwilligen. Nur Benutzer, denen eine Verzeichnisrolle mit der Berechtigung zum Erteilen von Einwilligung erteilt wurde, können in neue Apps einwilligen.

  • Benutzer können in Apps von verifizierten Herausgebern oder Ihrer Organisation einwilligen, aber nur für Berechtigungen, die Sie auswählen – Alle Benutzer können nur in Apps einwilligen, die von einem verifizierten Herausgeber veröffentlicht wurden, und in Apps, die in Ihrem Mandanten registriert sind. Benutzer können nur in die Berechtigungen einwilligen, die Sie als „geringe Auswirkung“ klassifiziert haben. Sie müssen Berechtigungen klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.

  • Benutzer können in alle Apps einwilligen – Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in jede beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert.

  • Benutzerdefinierte Richtlinie zur Einwilligung für die App: Bei sogar mehr Optionen für die Bedingungen zur Steuerung der Benutzereinwilligung können Sie die benutzerdefinierte Richtlinie zur Einwilligung für die App erstellen und für Benutzereinwilligung konfigurieren.

So konfigurieren Sie die Einstellungen für die Benutzereinwilligung über das Azure-Portal:

  1. Melden Sie sich als globaler Administrator beim Azure-Portal an.
  2. Wählen Sie Azure Active Directory > Unternehmensanwendungen > Einwilligung und Berechtigungen > Einstellungen für Benutzereinwilligung aus.
  3. Wählen Sie unter Benutzereinwilligung für Anwendungen aus, welche Einwilligungseinstellung für alle Benutzer konfiguriert werden soll.
  4. Klicken Sie auf Save (Speichern), um Ihre Einstellungen zu speichern.

Einstellungen für die Benutzereinwilligung

Tipp

Aktivieren Sie den Workflow für Administratoreinwilligung, wenn Sie Benutzern das Anfordern einer Überprüfung und Genehmigung für eine Anwendung durch einen Administrator ermöglichen möchten, bei der ein Benutzer nicht einwilligen darf – z. B. wenn die Benutzereinwilligung deaktiviert wurde oder eine Anwendung Berechtigungen anfordert, die der Benutzer nicht erteilen darf.

Die risikobasierte hochgestufte Einwilligung trägt zur Reduzierung der Benutzergefährdung durch böswillige Apps bei, die unrechtmäßige Einwilligungsanforderungen ausgeben. Wenn Microsoft eine risikobehaftete Anforderung der Endbenutzereinwilligung erkennt, wird die Anforderung stattdessen auf Administratoreinwilligung „hochgestuft“. Diese Funktion ist standardmäßig aktiviert, führt jedoch nur zu einer Änderung des Verhaltens, wenn die Endbenutzereinwilligung aktiviert ist.

Wird eine risikobehaftete Einwilligungsanforderung erkannt, wird in der Einwilligungsaufforderung eine Meldung angezeigt, die besagt, dass eine Administratorgenehmigung erforderlich ist. Wenn der Workflow zum Anfordern der Administratoreinwilligung aktiviert ist, kann der Benutzer die Anforderung zur weiteren Überprüfung direkt von der Einwilligungsaufforderung an einen Administrator senden. Ist diese Funktion nicht aktiviert, wird die folgende Meldung angezeigt:

  • AADSTS90094: <Anzeigename der Client-App> benötigt eine Berechtigung zum Zugriff auf Ressourcen in Ihrer Organisation, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, dieser App Berechtigungen zu erteilen, bevor Sie sie verwenden können.

In diesem Fall wird auch ein Überwachungsereignis der Kategorie „ApplicationManagement“ mit dem Aktivitätstyp „Einwilligung in Anwendung“ und dem Statusgrund „Riskante Anwendung erkannt“ protokolliert.

Wichtig

Administratoren sollten vor der Genehmigung einer Anforderung alle Einwilligungsanforderungen sorgfältig auswerten, besonders wenn Microsoft ein Risiko erkannt hat.

Mit dem Modul „Azure AD PowerShell Preview“ (AzureADPreview) können Sie die Hochstufung auf Administratoreinwilligung deaktivieren (wenn Microsoft Risiken erkennt) oder erneut aktivieren, wenn sie zuvor deaktiviert wurde.

  1. Stellen Sie sicher, dass Sie das Modul AzureADPreview verwenden. Dieser Schritt ist wichtig, wenn auf Ihrem Computer sowohl das Modul AzureAD als auch das Modul AzureADPreview installiert ist.

    Remove-Module AzureAD
    Import-Module AzureADPreview
    
  2. Stellen Sie eine Verbindung mit Azure AD PowerShell her.

    Connect-AzureAD
    
  3. Rufen Sie den aktuellen Wert für die Verzeichniseinstellungen der Zustimmungsrichtlinieneinstellungen in Ihrem Mandanten ab. Dazu muss überprüft werden, ob die Verzeichniseinstellungen für dieses Feature erstellt wurden, und wenn dies nicht der Fall ist, müssen die Werte aus der entsprechenden Vorlage für die Verzeichniseinstellungen verwendet werden.

    $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
    $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
    
    if (-not $settings) {
        $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId
        $settings = $template.CreateDirectorySetting()
    }
    
    $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
    
  4. Grundlegendes zum Einstellungswert:

    Einstellung type BESCHREIBUNG
    BlockUserConsentForRiskyApps Boolean Flag, das angibt, ob die Benutzereinwilligung beim Erkennen einer risikobehafteten Anforderung blockiert wird.
  5. Aktualisieren Sie den Einstellungswert für die gewünschte Konfiguration:

    # Disable risk-based step-up consent entirely
    $riskBasedConsentEnabledValue.Value = "False"
    
    # Re-enable risk-based step-up consent, if disabled previously
    $riskBasedConsentEnabledValue.Value = "True"
    
  6. Speichern Sie die Einstellungen.

    if ($settings.Id) {
        # Update an existing directory settings
        Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings
    } else {
        # Create a new directory settings to override the default setting 
        New-AzureADDirectorySetting -DirectorySetting $settings
    }
    

Nächste Schritte

Weitere Informationen:

So erhalten Sie Hilfe oder finden Antworten auf Ihre Fragen: