사용자가 애플리케이션에 동의하는 방법 구성

  • 아티클

이 문서에서는 애플리케이션에 대한 사용자 동의를 구성하는 방법과 애플리케이션에 대한 모든 향후 사용자 동의 작업을 비활성화하는 방법을 알아봅니다.

애플리케이션에서 조직의 데이터에 액세스하려면 먼저 사용자가 애플리케이션에 이 작업을 수행할 수 있는 권한을 부여해야 합니다. 여러 권한은 서로 다른 수준의 액세스를 허용합니다. 기본적으로 모든 사용자는 관리자의 동의가 필요하지 않은 권한을 애플리케이션에 부여하는 데 동의할 수 있습니다. 예를 들어, 사용자는 기본적으로 앱이 사서함에 액세스하는 데 동의할 수 있지만 앱이 조직의 모든 파일에 대한 읽기 및 쓰기 작업을 수행할 수 있는 무제한 액세스를 통해 허용하는 데 동의할 수 없습니다.

악의적인 애플리케이션이 사용자에게 조직의 데이터에 대한 액세스 권한을 부여하도록 속이는 위험을 줄이려면 인증된 게시자가 게시한 애플리케이션에만 사용자 동의를 허용하는 것이 좋습니다.

필수 조건

사용자 동의를 구성하려면 다음이 필요합니다.

  • 사용자 계정. 계정이 아직 없는 경우 체험 계정을 만들 수 있습니다.
  • 전역 관리자 역할.

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

Microsoft Entra 관리 센터를 통해 사용자 동의 설정을 구성하려면 다음을 수행합니다.

  1. 전역 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>애플리케이션>엔터프라이즈 애플리케이션>동의 및 권한>사용자 동의 설정으로 이동합니다.

  3. 애플리케이션에 대한 사용자 동의에서 모든 사용자에 대해 구성할 동의 설정을 선택합니다.

  4. 저장을 선택하여 설정을 저장합니다.

Screenshot of the 'User consent settings' pane.

애플리케이션에 대한 사용자 동의를 제어하는 앱 동의 정책을 선택하려면 최신 Microsoft Graph PowerShell 모듈을 사용할 수 있습니다. 여기에 사용되는 cmdlet은 Microsoft.Graph.Identity.SignIns 모듈에 포함되어 있습니다.

Microsoft Graph PowerShell에 연결

필요한 최소 권한을 사용하여 Microsoft Graph PowerShell에 연결합니다. 현재의 사용자 동의 설정을 읽으려면 Policy.Read.All을 사용합니다. 사용자 동의 설정을 읽고 변경하려면 Policy.ReadWrite.Authorization을 사용합니다. 전역 관리자로 로그인해야 합니다.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

사용자 동의를 사용하지 않도록 설정하려면 동의 정책(PermissionGrantPoliciesAssigned)에 컬렉션을 업데이트하는 동안 기타 현재 ManagePermissionGrantsForOwnedResource.* 정책이 포함되어 있는지 확인합니다. 그러면 사용자 동의 설정 및 기타 리소스 동의 설정에 대한 현재 구성을 유지할 수 있습니다.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

사용자 동의를 허용하려면 앱에 동의를 부여하는 사용자의 권한 부여를 제어하는 앱 동의 정책을 선택합니다. 동의 정책(PermissionGrantPoliciesAssigned)에 컬렉션을 업데이트하는 동안 기타 현재 ManagePermissionGrantsForOwnedResource.* 정책이 포함되어 있는지 확인합니다. 그러면 사용자 동의 설정 및 기타 리소스 동의 설정에 대한 현재 구성을 유지할 수 있습니다.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

{consent-policy-id}를 적용할 정책의 ID로 바꿉니다. 만든 사용자 지정 앱 동의 정책을 선택하거나 다음 기본 제공 정책 중에서 선택할 수 있습니다.

ID 설명
microsoft-user-default-low 선택한 권한에 대해 확인된 게시자의 앱에 대한 사용자 동의를 허용
확인된 게시자의 앱 및 테넌트에 등록된 앱에 대한 제한적 사용자 동의를 낮은 영향으로 분류한 권한에 한해 허용합니다. (사용자가 동의할 수 있는 권한을 선택하려면 권한을 분류해야 합니다.)
microsoft-user-default-legacy 앱에 대한 사용자 동의 허용
이 옵션을 사용하면 모든 사용자가 모든 애플리케이션에 관리자 동의가 필요하지 않은 모든 권한을 동의할 수 있습니다.

예를 들어 기본 제공 정책 microsoft-user-default-low에 따라 사용자 동의를 사용하도록 설정하려면 다음 명령을 실행합니다.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Graph Explorer를 사용하여 애플리케이션에 대한 사용자 동의를 제어하는 앱 동의 정책을 선택합니다. 전역 관리자로 로그인해야 합니다.

사용자 동의를 사용하지 않도록 설정하려면 동의 정책(PermissionGrantPoliciesAssigned)에 컬렉션을 업데이트하는 동안 기타 현재 ManagePermissionGrantsForOwnedResource.* 정책이 포함되어 있는지 확인합니다. 그러면 사용자 동의 설정 및 기타 리소스 동의 설정에 대한 현재 구성을 유지할 수 있습니다.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

사용자 동의를 허용하려면 앱에 동의를 부여하는 사용자의 권한 부여를 제어하는 앱 동의 정책을 선택합니다. 동의 정책(PermissionGrantPoliciesAssigned)에 컬렉션을 업데이트하는 동안 기타 현재 ManagePermissionGrantsForOwnedResource.* 정책이 포함되어 있는지 확인합니다. 그러면 사용자 동의 설정 및 기타 리소스 동의 설정에 대한 현재 구성을 유지할 수 있습니다.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

{consent-policy-id}를 적용할 정책의 ID로 바꿉니다. 만든 사용자 지정 앱 동의 정책을 선택하거나 다음 기본 제공 정책 중에서 선택할 수 있습니다.

ID 설명
microsoft-user-default-low 선택한 권한에 대해 확인된 게시자의 앱에 대한 사용자 동의를 허용
확인된 게시자의 앱 및 테넌트에 등록된 앱에 대한 제한적 사용자 동의를 낮은 영향으로 분류한 권한에 한해 허용합니다. (사용자가 동의할 수 있는 권한을 선택하려면 권한을 분류해야 합니다.)
microsoft-user-default-legacy 앱에 대한 사용자 동의 허용
이 옵션을 사용하면 모든 사용자가 모든 애플리케이션에 관리자 동의가 필요하지 않은 모든 권한을 동의할 수 있습니다.

예를 들어 기본 제공 정책 microsoft-user-default-low에 따라 사용자 동의를 사용하도록 설정하려면 다음 PATCH 명령을 사용합니다.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

사용자가 동의할 수 없는 애플리케이션에 대한 관리자의 검토 및 승인을 요청할 수 있도록 하려면 관리자 동의 워크플로를 활성화합니다. 예를 들어 사용자 동의가 비활성화되었거나 애플리케이션이 사용자에게 부여할 수 없는 권한을 요청하는 경우 이 작업을 수행할 수 있습니다.

다음 단계