A felhasználók alkalmazásokra vonatkozó hozzájárulásának konfigurálása

Ebből a cikkből megtudhatja, hogyan konfigurálhatja, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz, és hogyan tilthatja le az alkalmazásokra vonatkozó összes jövőbeli felhasználói hozzájárulási műveletet.

Ahhoz, hogy egy alkalmazás hozzáférhessen a szervezet adataihoz, egy felhasználónak engedélyeket kell adnia ehhez az alkalmazásnak. A különböző engedélyek különböző hozzáférési szinteket tesznek elérhetővé. Alapértelmezés szerint az összes felhasználó adhat hozzájárulást az alkalmazásokhoz olyan engedélyek esetén, amelyek nem igényelnek rendszergazdai hozzájárulást. A felhasználók például alapértelmezés szerint engedélyezhetik, hogy az alkalmazások hozzáférjenek a postaládájukhoz, de nem engedélyezhetik, hogy egy alkalmazás korlátlan hozzáférést biztosítson a szervezet összes fájljának olvasásához és írásához.

Annak a kockázatának csökkentése érdekében, hogy a rosszindulatú alkalmazások megpróbálják becsapni a felhasználókat arra, hogy hozzáférést biztosítsanak nekik a szervezet adataihoz, javasoljuk, hogy csak az ellenőrzött közzétevő által közzétett alkalmazásokhoz engedélyezze a felhasználói hozzájárulást.

Fontos

2022. szeptember 30-tól az új bérlők új alapértelmezett hozzájárulási beállítása a Microsoft javaslatának megfelelően történik. A Microsoft akkori első javaslata az lesz, hogy a végfelhasználók nem járulhatnak hozzá a több-bérlős alkalmazásokhoz közzétevői ellenőrzés nélkül, ha az alkalmazás olyan alapvető engedélyeket kér, mint a bejelentkezés és a felhasználói profilok olvasása.

Előfeltételek

A felhasználói hozzájárulás konfigurálásához a következőkre van szüksége:

• Egy felhasználói fiók. Ha még nem rendelkezik fiókkal, ingyenesen létrehozhat egy fiókot.
• Globális rendszergazdai vagy emelt szintű rendszergazdai szerepkör.

Az Azure Portal

Felhasználói hozzájárulás beállításainak konfigurálása

A felhasználói hozzájárulás beállításainak konfigurálása a Azure Portal keresztül:

1. Jelentkezzen be a Azure Portalglobális rendszergazdaként.

2. >Válassza Azure Active DirectoryAlkalmazások>engedélyezése és engedélyei>Felhasználói hozzájárulás beállításai lehetőséget.

3. Az alkalmazások felhasználói beleegyezése területen válassza ki, hogy melyik hozzájárulási beállítást szeretné konfigurálni az összes felhasználóhoz.

4. A beállítások mentéséhez válassza a Mentés lehetőséget.

PowerShell

A legújabb Azure AD PowerShell-modul használatával kiválaszthatja, hogy mely alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazások felhasználói hozzájárulását.

Megjegyzés

Az alábbi utasítások az általánosan elérhető Azure AD PowerShell-modult (AzureAD) használják. A paraméternevek eltérnek a modul előzetes verziójában (AzureADPreview). Ha mindkét modul telepítve van, először futtassa a megfelelő modul parancsmagját:

Remove-Module AzureADPreview -ErrorAction SilentlyContinue
Import-Module AzureAD

Felhasználói hozzájárulás letiltása

A felhasználói hozzájárulás letiltásához állítsa üresre azokat a hozzájárulási szabályzatokat, amelyek a felhasználói hozzájárulást szabályozzák:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Alkalmazás-hozzájárulási szabályzat hatálya alá tartozó felhasználói hozzájárulás engedélyezése

A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-jóváhagyási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Cserélje le {consent-policy-id} az alkalmazni kívánt szabályzat azonosítójára. Választhat egy ön által létrehozott egyéni alkalmazás-hozzájárulási szabályzatot , vagy választhat az alábbi beépített szabályzatok közül:

ID (Azonosító)	Description
microsoft-user-default-low	Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak az alacsony hatásúként besorolt engedélyekhez. (Ne felejtse el besorolni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.)
microsoft-user-default-legacy	Felhasználói hozzájárulás engedélyezése alkalmazásokhoz Ez a beállítás lehetővé teszi, hogy minden felhasználó jóváhagyjon minden olyan engedélyt, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz

Ha például engedélyezni szeretné a felhasználói hozzájárulást a beépített szabályzatnak microsoft-user-default-lowmegfelelően, futtassa a következő parancsokat:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Tipp

Ha engedélyezni szeretné, hogy a felhasználók rendszergazdai felülvizsgálatot és jóváhagyást kérjenek egy olyan alkalmazáshoz, amelybe a felhasználó nem jogosult, engedélyezze a rendszergazdai hozzájárulási munkafolyamatot. Ezt például akkor teheti meg, ha a felhasználói hozzájárulás le van tiltva, vagy ha egy alkalmazás olyan engedélyeket kér, amelyeket a felhasználó nem adhat meg.

Következő lépések

• Alkalmazás-hozzájárulási szabályzatok kezelése
• A rendszergazdai hozzájárulás munkafolyamatának konfigurálása