Engedélyosztályozások konfigurálása
Ebből a cikkből megtudhatja, hogyan konfigurálhatja az engedélybesorolásokat a Microsoft Entra ID-ban. Az engedélybesorolásokkal azonosíthatja, hogy milyen hatással vannak a különböző engedélyek a szervezet szabályzatai és kockázatfelmérései szerint. A hozzájárulási szabályzatokban például engedélybesorolásokkal azonosíthatja azokat az engedélyeket, amelyekhez a felhasználók hozzájárulást adhatnak.
Három engedélybesorolás támogatott: "Alacsony", "Közepes" (előzetes verzió) és "Magas" (előzetes verzió). Jelenleg csak a rendszergazdai hozzájárulást nem igénylő delegált engedélyek besorolhatók.
Az alapszintű bejelentkezéshez szükséges minimális engedélyek a openidprofileemailoffline_accessMicrosoft Graph delegált engedélyei. Ezekkel az engedélyekkel az alkalmazás elolvashatja a bejelentkezett felhasználó profiljának részleteit, és akkor is fenntarthatja ezt a hozzáférést, ha a felhasználó már nem használja az alkalmazást.
Előfeltételek
Az engedélybesorolások konfigurálásához a következőkre van szükség:
- An Azure account with an active subscription. Fiók ingyenes létrehozása.
- Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Application Rendszergazda istrator vagy Cloud Application Rendszergazda istrator
Engedélybesorolások kezelése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Az engedélyek a Microsoft Entra felügyeleti központ használatával történő besorolásához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Tallózással keresse meg az Identity>Applications>Enterprise-alkalmazásokat>a hozzájárulások és engedélyek>engedélybesorolásai között.
- Válassza ki a frissíteni kívánt engedélyosztályozás lapját.
- Másik engedély besorolásához válassza az Engedélyek hozzáadása lehetőséget.
- Válassza ki az API-t, majd válassza ki a delegált engedély(ek)et.
Ebben a példában az egyszeri bejelentkezéshez szükséges minimális engedélykészletet soroltuk be:
Az engedélyek besorolásához használhatja a legújabb Azure AD PowerShellt. Az engedélybesorolások az engedélyeket közzétevő API ServicePrincipal objektumán vannak konfigurálva.
Futtassa a következő parancsot az Azure AD PowerShellhez való csatlakozáshoz. A szükséges hatókörökhöz való hozzájáruláshoz jelentkezzen be legalább egy felhőalapú alkalmazásként Rendszergazda istratorként.
Connect-AzureAD
Az aktuális engedélybesorolások listázása az Azure AD PowerShell használatával
Kérje le az API ServicePrincipal objektumát. Itt lekérjük a Microsoft Graph API ServicePrincipal objektumát:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"Olvassa el az API delegált engedélybesorolásait:
Get-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
Engedély besorolása "Alacsony hatás" értékre az Azure AD PowerShell használatával
Kérje le az API ServicePrincipal objektumát. Itt lekérjük a Microsoft Graph API ServicePrincipal objektumát:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"Keresse meg a besorolni kívánt delegált engedélyt:
$delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }Az engedélybesorolás beállítása az engedély nevével és azonosítójával:
Add-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId ` -PermissionId $delegatedPermission.Id ` -PermissionName $delegatedPermission.Value ` -Classification "low"
Delegált engedélybesorolás eltávolítása az Azure AD PowerShell használatával
Kérje le az API ServicePrincipal objektumát. Itt lekérjük a Microsoft Graph API ServicePrincipal objektumát:
$api = Get-AzureADServicePrincipal ` -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"Keresse meg az eltávolítani kívánt delegált engedélybesorolást:
$classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}Törölje az engedélybesorolást:
Remove-AzureADMSServicePrincipalDelegatedPermissionClassification ` -ServicePrincipalId $api.ObjectId ` -Id $classificationToRemove.Id
A Microsoft Graph PowerShell használatával osztályozhatja az engedélyeket. Az engedélybesorolások az engedélyeket közzétevő API ServicePrincipal objektumán vannak konfigurálva.
Futtassa a következő parancsot a Microsoft Graph PowerShellhez való csatlakozáshoz. A szükséges hatókörökhöz való hozzájáruláshoz jelentkezzen be legalább egy felhőalapú alkalmazásként Rendszergazda istratorként.
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant".
Api aktuális engedélybesorolásainak listázása a Microsoft Graph PowerShell használatával
Az API servicePrincipal objektumának lekérése:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"Olvassa el az API delegált engedélybesorolásait:
Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id
Engedély besorolása "Alacsony hatás" értékre a Microsoft Graph PowerShell használatával
Az API servicePrincipal objektumának lekérése:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"Keresse meg a besorolni kívánt delegált engedélyt:
$delegatedPermission = $api.Oauth2PermissionScopes | Where-Object {$_.Value -eq "openid"}Az engedélybesorolás beállítása:
$params = @{ PermissionId = $delegatedPermission.Id PermissionName = $delegatedPermission.Value Classification = "Low" } New-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id -BodyParameter $params
Delegált engedélybesorolás eltávolítása a Microsoft Graph PowerShell használatával
Az API servicePrincipal objektumának lekérése:
$api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'"Keresse meg az eltávolítani kívánt delegált engedélybesorolást:
$classifications = Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "openid"}Törölje az engedélybesorolást:
Remove-MgServicePrincipalDelegatedPermissionClassification -DelegatedPermissionClassificationId $classificationToRemove.Id -ServicePrincipalId $api.id
Egy vállalati alkalmazás engedélybesorolásainak konfigurálásához jelentkezzen be a Graph Explorerbe legalább felhőalapú alkalmazásként Rendszergazda istratorként.
Hozzá kell járulnia az Policy.ReadWrite.PermissionGrant engedélyhez.
Futtassa az alábbi lekérdezéseket a Microsoft Graph Explorerben egy alkalmazás delegált engedélybesorolásának hozzáadásához.
Api aktuális engedélybesorolásainak listázása a Microsoft Graph API használatával
Az ALÁBBI Microsoft Graph API-hívással listázhatja egy API aktuális engedélybesorolásait.
GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Engedély besorolása "Alacsony hatás" értékre a Microsoft Graph API használatával
Az alábbi példában az engedélyt "alacsony hatásúnak" soroljuk be.
Adjon hozzá egy delegált engedélybesorolást egy API-hoz a következő Microsoft Graph API-hívással.
POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Content-type: application/json
{
"permissionId": "b4e74841-8e56-480b-be8b-910348b18b4c",
"classification": "low"
}
Delegált engedélybesorolás eltávolítása a Microsoft Graph API használatával
Futtassa az alábbi lekérdezést a Microsoft Graph Explorerben egy API delegált engedélybesorolásának eltávolításához.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications/QUjntFaOC0i-i5EDSLGLTAE