Mengonfigurasi izin peningkatan berbasis risiko menggunakan PowerShell
Dalam artikel ini, Anda akan mempelajari cara mengonfigurasi izin peningkatan berbasis risiko di Azure Active Directory (Azure AD). Persetujuan step-up berbasis risiko membantu mengurangi paparan pengguna terhadap aplikasi berbahaya yang membuat permintaan persetujuan terlarang.
Misalnya, permintaan persetujuan untuk aplikasi multi-penyewa yang baru terdaftar yang tidak diverifikasi penerbit dan memerlukan izin non-dasar dianggap berisiko. Jika permintaan izin pengguna yang berisiko terdeteksi, permintaan tersebut memerlukan "peningkatan" untuk izin admin. Kemampuan peningkatan ini diaktifkan secara default, tetapi akan menghasilkan perubahan perilaku hanya jika izin pengguna diaktifkan.
Saat permintaan izin berisiko terdeteksi, permintaan izin menampilkan pesan yang menunjukkan bahwa persetujuan admin diperlukan. Jika alur kerja permintaan persetujuan admin diaktifkan, pengguna dapat mengirim permintaan ke admin untuk ditinjau lebih lanjut secara langsung dari permintaan persetujuan. Jika alur kerja permintaan izin admin tidak diaktifkan, pesan berikut akan ditampilkan:
AADSTS90094:<clientAppDisplayName> memerlukan izin untuk mengakses sumber daya di organisasi Anda yang hanya dapat diberikan oleh admin. Minta admin untuk memberikan izin ke aplikasi ini sebelum dapat Anda gunakan.
Dalam kasus ini, kejadian audit juga akan dicatat di log dengan Kategori "ManajemenAplikasi", Jenis Aktivitas "Persetujuan ke aplikasi", dan alasan status "Aplikasi yang berisiko terdeteksi."
Prasyarat
Untuk mengonfigurasi izin peningkatan berbasis risiko, Anda memerlukan:
- Akun pengguna. Jika Anda belum memilikinya, Anda dapat membuat akun secara gratis.
- Peran Administrator Global atau peran Administrator Istimewa.
Menonaktifkan atau mengaktifkan kembali izin peningkatan berbasis risiko
Anda dapat menggunakan modul Pratinjau Azure Active Directory PowerShell, AzureADPreview, untuk menonaktifkan peningkatan izin admin yang diperlukan jika risiko terdeteksi, atau untuk mengaktifkannya jika sebelumnya dinonaktifkan.
Penting
Pastikan Anda menggunakan modul AzureADPreview. Ini penting jika Anda telah menginstal modul AzureAD dan modul AzureADPreview.
Jalankan perintah berikut:
Remove-Module AzureAD Import-Module AzureADPreviewHubungkan ke Azure Active Directory PowerShell:
Connect-AzureADAmbil nilai saat ini untuk pengaturan direktori Pengaturan Kebijakan Persetujuan di penyewa Anda. Untuk melakukannya, Anda memerlukan pemeriksaan untuk melihat apakah pengaturan direktori untuk fitur ini telah dibuat. Jika belum dibuat, gunakan nilai dari template pengaturan direktori yang sesuai.
$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId } if (-not $settings) { $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId $settings = $template.CreateDirectorySetting() } $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }Pahami nilai pengaturan:
Pengaturan Jenis Deskripsi BlockUserConsentForRiskyApps Boolean Tanda yang menunjukkan apakah izin pengguna akan diblokir saat permintaan berisiko terdeteksi. Perbarui nilai pengaturan untuk konfigurasi yang diinginkan:
# Disable risk-based step-up consent entirely $riskBasedConsentEnabledValue.Value = "False"# Re-enable risk-based step-up consent, if disabled previously $riskBasedConsentEnabledValue.Value = "True"Simpan pengaturan Anda:
if ($settings.Id) { # Update an existing directory settings Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings } else { # Create a new directory settings to override the default setting New-AzureADDirectorySetting -DirectorySetting $settings }