Di artikel ini, Anda akan belajar cara mengonfigurasi persetujuan pengguna untuk aplikasi dan cara menonaktifkan semua operasi persetujuan tersebut di masa mendatang.
Sebelum aplikasi dapat mengakses data organisasi Anda, pengguna harus memberikan izin kepada aplikasi untuk melakukannya. Izin yang berbeda memungkinkan tingkat akses yang berbeda. Secara default, semua pengguna diizinkan untuk menyetujui aplikasi untuk izin yang tidak memerlukan persetujuan administrator. Misalnya, secara default, pengguna dapat menyetujui untuk mengizinkan aplikasi mengakses kotak surat mereka, tetapi tidak dapat menyetujui untuk mengizinkan aplikasi akses tak terbatas untuk membaca dan menulis ke semua file di organisasi Anda.
Penting
Untuk mengurangi risiko aplikasi berbahaya yang mencoba menipu pengguna dengan memberi mereka akses ke data organisasi Anda, sebaiknya Anda hanya mengizinkan persetujuan pengguna untuk aplikasi yang telah diterbitkan oleh penerbit terverifikasi.
Prasyarat
Untuk mengonfigurasi persetujuan pengguna, Anda memerlukan:
Pilih Azure Active Directory>Aplikasi perusahaan>Persetujuan dan izin>Pengaturan persetujuan pengguna.
Pada Persetujuan pengguna untuk aplikasi, pilih pengaturan persetujuan mana yang ingin Anda konfigurasikan untuk semua pengguna.
Pilih Simpan untuk menyimpan pengaturan Anda.
Untuk memilih kebijakan persetujuan aplikasi mana yang mengatur persetujuan pengguna untuk aplikasi, Anda dapat menggunakan modul Azure AD PowerShell terbaru.
Catatan
Petunjuk di bawah ini menggunakan modul Azure AD PowerShell (AzureAD) yang tersedia secara umum. Nama parameter berbeda dalam versi pratinjau modul ini (AzureADPreview). Jika Anda memiliki kedua modul yang diinstal, pastikan Anda menggunakan cmdlet dari modul yang benar dengan terlebih dahulu menjalankan:
Mengizinkan persetujuan pengguna tunduk pada kebijakan persetujuan aplikasi
Untuk mengizinkan persetujuan pengguna, pilih kebijakan persetujuan aplikasi yang akan mengatur otorisasi pengguna untuk memberikan persetujuan ke aplikasi:
Ganti {consent-policy-id} dengan ID kebijakan yang ingin Anda terapkan. Anda dapat memilih kebijakan persetujuan aplikasi kustom yang telah dibuat, atau Anda dapat memilih kebijakan bawaan berikut:
ID
Deskripsi
microsoft-user-default-low
Mengizinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih Izinkan persetujuan pengguna terbatas hanya untuk aplikasi dari penerbit terverifikasi dan aplikasi yang terdaftar di penyewa Anda, dan hanya untuk izin yang Anda klasifikasikan sebagai dampak rendah. (Ingatlah untuk mengklasifikasikan izin untuk memilih izin mana yang boleh disetujui pengguna.)
microsoft-user-default-legacy
Mengizinkan persetujuan pengguna untuk aplikasi Opsi ini memungkinkan semua pengguna untuk menyetujui semua izin yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun
Sebagai contoh, untuk mengaktifkan persetujuan pengguna yang tunduk pada kebijakan bawaan microsoft-user-default-low, jalankan perintah berikut:
Untuk memungkinkan pengguna meminta tinjauan dan persetujuan administrator terhadap aplikasi yang tidak boleh disetujui, aktifkan alur kerja persetujuan admin. Ini mungkin Anda lakukan ketika persetujuan pengguna telah dinonaktifkan atau ketika aplikasi meminta izin yang tidak boleh diberikan pengguna.
