Configure how users consent to applications

  • Cikk

Ebből a cikkből megtudhatja, hogyan konfigurálhatja a felhasználók alkalmazásokhoz való hozzájárulását, és hogyan tilthatja le az összes jövőbeli felhasználói hozzájárulási műveletet az alkalmazásokban.

Before an application can access your organization's data, a user must grant the application permissions to do so. A különböző engedélyek különböző hozzáférési szinteket tesznek elérhetővé. Alapértelmezés szerint az összes felhasználó adhat hozzájárulást az alkalmazásokhoz olyan engedélyek esetén, amelyek nem igényelnek rendszergazdai hozzájárulást. A felhasználók például alapértelmezés szerint engedélyezhetik, hogy az alkalmazások hozzáférjenek a postaládájukhoz, de nem járulhatnak hozzá ahhoz, hogy egy alkalmazás korlátlan hozzáférést biztosítson a szervezet összes fájljához való olvasáshoz és íráshoz.

Annak érdekében, hogy csökkenjen annak a kockázata, hogy a rosszindulatú alkalmazások megpróbálják rávenni a felhasználókat arra, hogy hozzáférést biztosítsanak a szervezet adataihoz, javasoljuk, hogy csak az ellenőrzött közzétevő által közzétett alkalmazásokhoz engedélyezze a felhasználói hozzájárulást.

Előfeltételek

A felhasználói hozzájárulás konfigurálásához a következőkre van szüksége:

  • Egy felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Globális Rendszergazda istrator szerepkör.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Felhasználói hozzájárulási beállítások konfigurálása a Microsoft Entra felügyeleti központban:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és adja meg a felhasználói hozzájárulási beállításokat.>

  3. Az alkalmazások felhasználói beleegyezése csoportban válassza ki, hogy melyik hozzájárulási beállítást szeretné konfigurálni az összes felhasználóhoz.

  4. Válassza a Save (Mentés) lehetőséget a beállítások mentéséhez.

Screenshot of the 'User consent settings' pane.

A Microsoft Graph PowerShell modul használatával kiválaszthatja, hogy mely alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazások felhasználói beleegyezését. Az itt használt parancsmagok a Microsoft.Graph.Identity.SignIns modulban találhatók.

Csatlakozás a Microsoft Graph PowerShell-be

Csatlakozás a Microsoft Graph PowerShellbe a minimális jogosultsági jogosultsággal. Az aktuális felhasználói hozzájárulási beállítások elolvasásához használja a Policy.Read.All parancsot. A felhasználói hozzájárulási beállítások olvasásához és módosításához használja a Policy.ReadWrite.Authorization parancsot. Globális Rendszergazda istratorként kell bejelentkeznie.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.* szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.* szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Cserélje le {consent-policy-id} az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:

Azonosító Leírás
microsoft-user-default-low Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez
Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.)
microsoft-user-default-legacy Felhasználói hozzájárulás engedélyezése alkalmazásokhoz
Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz

Ha például engedélyezni szeretné a felhasználói hozzájárulást a beépített szabályzatnak microsoft-user-default-lowmegfelelően, futtassa a következő parancsokat:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

A Graph Explorerrel kiválaszthatja, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazásokhoz való felhasználói hozzájárulást. Globális Rendszergazda istratorként kell bejelentkeznie.

A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.* szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.* szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Cserélje le {consent-policy-id} az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:

Azonosító Leírás
microsoft-user-default-low Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez
Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.)
microsoft-user-default-legacy Felhasználói hozzájárulás engedélyezése alkalmazásokhoz
Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz

Ha például engedélyezni szeretné a beépített szabályzat microsoft-user-default-lowhatálya alá tartozó felhasználói hozzájárulást, használja a következő PATCH parancsot:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Tipp.

Ha engedélyezni szeretné, hogy a felhasználók rendszergazdai felülvizsgálatot és jóváhagyást kérjenek egy olyan alkalmazásról, amelyhez a felhasználó nem járulhat hozzá, engedélyezze a rendszergazdai hozzájárulási munkafolyamatot. Ezt például akkor teheti meg, ha a felhasználói hozzájárulás le van tiltva, vagy ha egy alkalmazás olyan engedélyeket kér, amelyeket a felhasználó nem adhat meg.

További lépések