Configureren hoe gebruikers toestemming geven voor toepassingen

Is deze pagina nuttig?

Nog meer feedback?

Feedback wordt verzonden naar Microsoft: als u de knop Verzenden kiest, wordt uw feedback gebruikt om Microsoft-producten en -services te verbeteren. Privacybeleid.

In dit artikel leert u hoe u de manier configureert waarop gebruikers toestemming geven voor toepassingen en hoe u alle toekomstige bewerkingen voor gebruikerstoestemming voor toepassingen uitschakelt.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn postvak, maar kan niet toestaan dat een app ongefettereerde toegang heeft tot alle bestanden in uw organisatie.

Belangrijk

Als u het risico wilt beperken dat kwaadwillende toepassingen gebruikers misleiden bij het verlenen van toegang tot de gegevens van uw organisatie, raden we u aan om gebruikerstoestemming alleen toe te staan voor toepassingen die zijn gepubliceerd door een geverifieerde uitgever.

Vereisten

Als u gebruikerstoestemming wilt configureren, hebt u het volgende nodig:

• Een gebruikersaccount. Als u nog geen account hebt, kunt u gratis een account maken.
• De rol Globale beheerder of Bevoegde beheerder.

Azure Portal

Instellingen voor gebruikerstoestemming configureren

Ga als volgt te werk om instellingen voor gebruikerstoestemming te configureren via de Azure Portal:

1. Meld u als globale beheerder aan bij de Azure Portal.

2. Selecteer Azure Active Directory>EnterpriseapplicationsConsent> en permissionsUser> consent settings.

3. Selecteer onder Gebruikerstoestemming voor toepassingen welke toestemmingsinstelling u wilt configureren voor alle gebruikers.

4. Selecteer Opslaan om uw instellingen op te slaan.

PowerShell

Als u wilt kiezen welk app-toestemmingsbeleid gebruikerstoestemming voor toepassingen bepaalt, kunt u de nieuwste Azure AD PowerShell-module gebruiken.

Notitie

In de onderstaande instructies wordt de algemeen beschikbare Azure AD PowerShell-module (AzureAD) gebruikt. De parameternamen verschillen in de preview-versie van deze module (AzureADPreview). Als u beide modules hebt geïnstalleerd, controleert u of u de cmdlet uit de juiste module gebruikt door eerst het volgende uit te voeren:

Remove-Module AzureADPreview -ErrorAction SilentlyContinue
Import-Module AzureAD

Gebruikerstoestemming uitschakelen

Als u gebruikerstoestemming wilt uitschakelen, stelt u het toestemmingsbeleid in waarmee gebruikerstoestemming wordt beheerd, leeg te maken:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Toestaan dat gebruikerstoestemming is onderworpen aan een app-toestemmingsbeleid

Als u gebruikerstoestemming wilt toestaan, kiest u welk app-toestemmingsbeleid de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Vervang {consent-policy-id} door de id van het beleid dat u wilt toepassen. U kunt een aangepast app-toestemmingsbeleid kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id	Description
microsoft-user-default-low	Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers voor geselecteerde machtigingen Sta alleen beperkte gebruikerstoestemming toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Vergeet niet om machtigingen te classificeren om te selecteren aan welke machtigingen gebruikers toestemming mogen geven.)
microsoft-user-default-legacy	Gebruikerstoestemming toestaan voor apps Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist voor elke toepassing

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen op basis van het ingebouwde beleid microsoft-user-default-low, voert u de volgende opdrachten uit:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Tip

Schakel de werkstroom voor beheerderstoestemming in om gebruikers toestemming te geven voor een toepassing waarvoor de gebruiker geen toestemming mag geven. U kunt dit bijvoorbeeld doen wanneer gebruikerstoestemming is uitgeschakeld of wanneer een toepassing machtigingen aanvraagt die de gebruiker niet mag verlenen.

Volgende stappen

• Beleid voor app-toestemming beheren
• De werkstroom voor beheerderstoestemming configureren