Configure how users consent to applications
Ebből a cikkből megtudhatja, hogyan konfigurálhatja a felhasználók alkalmazásokhoz való hozzájárulását, és hogyan tilthatja le az összes jövőbeli felhasználói hozzájárulási műveletet az alkalmazásokban.
Before an application can access your organization's data, a user must grant the application permissions to do so. A különböző engedélyek különböző hozzáférési szinteket tesznek elérhetővé. Alapértelmezés szerint az összes felhasználó adhat hozzájárulást az alkalmazásokhoz olyan engedélyek esetén, amelyek nem igényelnek rendszergazdai hozzájárulást. A felhasználók például alapértelmezés szerint engedélyezhetik, hogy az alkalmazások hozzáférjenek a postaládájukhoz, de nem járulhatnak hozzá ahhoz, hogy egy alkalmazás korlátlan hozzáférést biztosítson a szervezet összes fájljához való olvasáshoz és íráshoz.
Annak érdekében, hogy csökkenjen annak a kockázata, hogy a rosszindulatú alkalmazások megpróbálják rávenni a felhasználókat arra, hogy hozzáférést biztosítsanak a szervezet adataihoz, javasoljuk, hogy csak az ellenőrzött közzétevő által közzétett alkalmazásokhoz engedélyezze a felhasználói hozzájárulást.
Előfeltételek
A felhasználói hozzájárulás konfigurálásához a következőkre van szüksége:
- Egy felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Globális Rendszergazda istrator szerepkör.
Felhasználói hozzájárulási beállítások konfigurálása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Felhasználói hozzájárulási beállítások konfigurálása a Microsoft Entra felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és adja meg a felhasználói hozzájárulási beállításokat.>
Az alkalmazások felhasználói beleegyezése csoportban válassza ki, hogy melyik hozzájárulási beállítást szeretné konfigurálni az összes felhasználóhoz.
Válassza a Save (Mentés) lehetőséget a beállítások mentéséhez.
A Microsoft Graph PowerShell modul használatával kiválaszthatja, hogy mely alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazások felhasználói beleegyezését. Az itt használt parancsmagok a Microsoft.Graph.Identity.SignIns modulban találhatók.
Csatlakozás a Microsoft Graph PowerShell-be
Csatlakozás a Microsoft Graph PowerShellbe a minimális jogosultsági jogosultsággal. Az aktuális felhasználói hozzájárulási beállítások elolvasásához használja a Policy.Read.All parancsot. A felhasználói hozzájárulási beállítások olvasásához és módosításához használja a Policy.ReadWrite.Authorization parancsot. Globális Rendszergazda istratorként kell bejelentkeznie.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Felhasználói hozzájárulás letiltása
A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Alkalmazás-hozzájárulási szabályzathoz kötött felhasználói hozzájárulás engedélyezése a PowerShell használatával
A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Cserélje le {consent-policy-id}
az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:
Azonosító | Leírás |
---|---|
microsoft-user-default-low | Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.) |
microsoft-user-default-legacy | Felhasználói hozzájárulás engedélyezése alkalmazásokhoz Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz |
Ha például engedélyezni szeretné a felhasználói hozzájárulást a beépített szabályzatnak microsoft-user-default-low
megfelelően, futtassa a következő parancsokat:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
A Graph Explorerrel kiválaszthatja, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazásokhoz való felhasználói hozzájárulást. Globális Rendszergazda istratorként kell bejelentkeznie.
A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Alkalmazás-jóváhagyási szabályzat hatálya alá tartozó felhasználói hozzájárulás engedélyezése a Microsoft Graph használatával
A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Cserélje le {consent-policy-id}
az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:
Azonosító | Leírás |
---|---|
microsoft-user-default-low | Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.) |
microsoft-user-default-legacy | Felhasználói hozzájárulás engedélyezése alkalmazásokhoz Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz |
Ha például engedélyezni szeretné a beépített szabályzat microsoft-user-default-low
hatálya alá tartozó felhasználói hozzájárulást, használja a következő PATCH parancsot:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Tipp.
Ha engedélyezni szeretné, hogy a felhasználók rendszergazdai felülvizsgálatot és jóváhagyást kérjenek egy olyan alkalmazásról, amelyhez a felhasználó nem járulhat hozzá, engedélyezze a rendszergazdai hozzájárulási munkafolyamatot. Ezt például akkor teheti meg, ha a felhasználói hozzájárulás le van tiltva, vagy ha egy alkalmazás olyan engedélyeket kér, amelyeket a felhasználó nem adhat meg.