Configureren hoe eindgebruikers toestemming geven voor toepassingenConfigure how end-users consent to applications

U kunt uw toepassingen integreren met het micro soft Identity-platform zodat gebruikers zich kunnen aanmelden met hun werk-of school account en toegang hebben tot de gegevens van uw organisatie om uitgebreide gegevensgestuurde ervaringen te leveren.You can integrate your applications with the Microsoft identity platform to allow users to sign in with their work or school account and access your organization's data to deliver rich data-driven experiences.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassings machtigingen hiervoor verlenen.Before an application can access your organization's data, a user must grant the application permissions to do so. Met verschillende machtigingen kunnen verschillende toegangs niveaus worden toegestaan.Different permissions allow different levels of access. Standaard kunnen alle gebruikers toestemming geven voor machtigingen waarvoor geen toestemming van de beheerder nodig is.By default, all users are allowed to consent to applications for permissions that don't require administrator consent. Een gebruiker kan bijvoorbeeld standaard toestemming geven om toegang te krijgen tot het postvak van een app, maar kan niet toestemming geven om de toegang tot alle bestanden in uw organisatie te lezen en te schrijven voor een app onbelemmerde.For example, by default, a user can consent to allow an app to access their mailbox but can't consent to allow an app unfettered access to read and write to all files in your organization.

Door gebruikers toe te staan apps toegang te verlenen tot gegevens, kunnen gebruikers eenvoudig nuttige toepassingen verkrijgen en productief zijn.By allowing users to grant apps access to data, users can easily acquire useful applications and be productive. In sommige gevallen kan deze configuratie echter een risico vormen als deze niet zorgvuldig wordt bewaakt en beheerd.However, in some situations this configuration can represent a risk if it's not monitored and controlled carefully.

Belangrijk

Om het risico te verkleinen dat kwaadwillende toepassingen gebruikers toegang geven tot de gegevens van uw organisatie, wordt u aangeraden alleen toestemming van de gebruiker toe te staan voor toepassingen die zijn gepubliceerd door een gecontroleerde uitgever.To reduce the risk of malicious applications attempting to trick users into granting them access to your organization's data, we recommend that you allow user consent only for applications that have been published by a verified publisher.

Het app-toestemming beleid beschrijft voor waarden waaraan moet worden voldaan voordat een app kan worden ingestemd.App consent policies describe conditions which must be met before an app can be consented to. Dit beleid kan voor waarden bevatten op de app die toegang vraagt, evenals de machtigingen die de app aanvraagt.These policies may include conditions on the app requesting access, as well as the permissions the app is requesting.

Als u kiest welke app-machtigings beleid van toepassing is voor alle gebruikers, kunt u limieten instellen voor wanneer eind gebruikers toestemming mogen geven tot apps, en wanneer ze moeten worden gevraagd om de beheerder en goed keuring van beheerders te vragen:By choosing which app consent policies apply for all users, you can set limits on when end-users are allowed to grant consent to apps, and when they will be required to request administrator review and approval:

  • Gebruikers toestemming uitschakelen : gebruikers kunnen geen machtigingen toekennen aan toepassingen.Disable user consent - Users cannot grant permissions to applications. Gebruikers kunnen zich blijven aanmelden bij apps die voorheen hebben gecommuniceerd naar of die zijn gemachtigd door beheerders in hun naam, maar ze mogen niet toestemming geven voor nieuwe machtigingen of aan nieuwe apps.Users can continue to sign in to apps they had previously consented to or which are consented to by administrators on their behalf, but they will not be allowed to consent to new permissions or to new apps on their own. Alleen gebruikers die een directory-rol met toestemming voor het verlenen van toestemming hebben verleend, kunnen toestemming geven voor nieuwe apps.Only users who have been granted a directory role that includes the permission to grant consent will be able to consent to new apps.

  • Gebruikers kunnen toestemming geven voor apps van geverifieerde uitgevers of uw organisatie, maar alleen voor machtigingen die u selecteert . alle gebruikers kunnen alleen toestemming geven voor apps die zijn gepubliceerd door een geverifieerde Uitgever en apps die zijn geregistreerd in uw Tenant.Users can consent to apps from verified publishers or your organization, but only for permissions you select - All users can only consent to apps that were published by a verified publisher and apps that are registered in your tenant. Gebruikers kunnen alleen toestemming geven voor de machtigingen die u hebt geclassificeerd als ' lage impact '.Users can only consent to the permissions you have classified as "low impact". U moet de machtigingen classificeren om te selecteren welke machtigingen gebruikers toestemming mogen geven.You must classify permissions to select which permissions users are allowed to consent to.

  • Gebruikers kunnen voor alle apps toestemming geven: met deze optie kunnen alle gebruikers toestemming geven voor machtigingen waarvoor geen beheerders toestemming is vereist voor elke toepassing.Users can consent to all apps - This option allows all users to consent to any permission which doesn't require admin consent, for any application.

  • Aangepast beleid voor de toestemming van de app-voor nog meer opties voor de voor waarden die gelden voor de toestemming van de gebruiker, kunt u een aangepast beleid voor de toestemming van apps makenen configureren dat deze voor toestemming van de gebruiker worden toegepast.Custom app consent policy - For even more options over the conditions governing when user consent, you can create custom app consent policy, and configure those to apply for user consent.

Instellingen voor gebruikers toestemming configureren via de Azure Portal:To configure user consent settings through the Azure portal:

  1. Meld u aan bij de Azure Portal als globale beheerder.Sign in to the Azure portal as a Global Administrator.
  2. Selecteer Azure Active Directory > toestemming van bedrijfs toepassingen > en machtigingen > instellingen voor gebruikers toestemming.Select Azure Active Directory > Enterprise applications > Consent and permissions > User consent settings.
  3. Selecteer onder toestemming van de gebruiker voor toepassingen de instelling van de toestemming die u wilt configureren voor alle gebruikers.Under User consent for applications, select which consent setting you'd like to configure for all users.
  4. Selecteer Opslaan om uw instellingen op te slaan.Select Save to save your settings.

Instellingen voor gebruikers toestemming

Tip

Schakel de beheerder toestemming werk stroom in om gebruikers toe te staan om de controle en goed keuring van een beheerder aan te vragen van een toepassing waarbij de gebruiker niet toestemming mag geven, bijvoorbeeld wanneer toestemming van de gebruiker is uitgeschakeld of wanneer een toepassing machtigingen aanvraagt die de gebruiker niet mag verlenen.Enable the admin consent workflow to allow users to request an administrator's review and approval of an application that the user is not allowed to consent to—for example, when user consent has been disabled or when an application is requesting permissions that the user is not allowed to grant.

Met behulp van op risico gebaseerde stapsgewijze toestemming kan de gebruikers bloot stellen aan schadelijke apps die illegale toestemming aanvragendoen.Risk-based step-up consent helps reduce user exposure to malicious apps that make illicit consent requests. Als micro soft een aanvraag voor een Risk ante toestemming van de eind gebruiker detecteert, heeft de aanvraag een ' stapsgewijs ' door gegeven aan de beheerder.If Microsoft detects a risky end-user consent request, the request will require a "step-up" to admin consent instead. Deze mogelijkheid is standaard ingeschakeld, maar dit resulteert alleen in een wijziging in het gedrag wanneer toestemming van de eind gebruiker is ingeschakeld.This capability is enabled by default, but it will only result in a behavior change when end-user consent is enabled.

Wanneer een Risk ante toestemming aanvraag wordt gedetecteerd, wordt in de toestemming prompt een bericht weer gegeven waarin wordt aangegeven dat de goed keuring van de beheerder nodig is.When a risky consent request is detected, the consent prompt will display a message indicating that admin approval is needed. Als de aanvraag werk stroom beheerder toestemming is ingeschakeld, kan de gebruiker de aanvraag naar een beheerder verzenden voor verdere controle, rechtstreeks vanuit de toestemming prompt.If the admin consent request workflow is enabled, the user can send the request to an admin for further review directly from the consent prompt. Als de functie niet is ingeschakeld, wordt het volgende bericht weer gegeven:If it's not enabled, the following message will be displayed:

  • AADSTS90094: < clientAppDisplayName > heeft toestemming nodig om toegang te krijgen tot bronnen in uw organisatie die alleen door een beheerder kunnen worden verleend.AADSTS90094: <clientAppDisplayName> needs permission to access resources in your organization that only an admin can grant. Vraag een beheerder om toestemming te verlenen voor deze app voordat u deze kunt gebruiken.Please ask an admin to grant permission to this app before you can use it.

In dit geval wordt er ook een controle gebeurtenis vastgelegd met de categorie ' ApplicationManagement ', het activiteitstype ' instemming met de toepassing ' en de status van ' Risk ante toepassing gedetecteerd '.In this case, an audit event will also be logged with a Category of "ApplicationManagement", Activity Type of "Consent to application", and Status Reason of "Risky application detected".

Belangrijk

Beheerders moeten alle toestemming aanvragen zorgvuldig evalueren voordat ze een aanvraag goed keuren, met name wanneer micro soft risico heeft gedetecteerd.Admins should evaluate all consent requests carefully before approving a request, especially when Microsoft has detected risk.

U kunt de Azure AD Power shell preview-module, AzureADPreview, gebruiken om de stap-tot-toestemming van de beheerder uit te scha kelen in gevallen waarin micro soft risico detecteert of het opnieuw inschakelt als dit eerder was uitgeschakeld.You can use the Azure AD PowerShell Preview module, AzureADPreview, to disable the step-up to admin consent required in cases where Microsoft detects risk or to re-enable it if it was previously disabled.

  1. Zorg ervoor dat u de AzureADPreview -module gebruikt.Make sure you're using the AzureADPreview module. Deze stap is belang rijk als u de AzureAD -module en de AzureADPreview -module hebt geïnstalleerd.This step is important if you have installed both the AzureAD module and the AzureADPreview module).

    Remove-Module AzureAD
    Import-Module AzureADPreview
    
  2. Verbinding maken met Azure AD Power shell.Connect to Azure AD PowerShell.

    Connect-AzureAD
    
  3. Haal de huidige waarde op voor de instellingen van de map met instellingen voor het toestemming beleid in uw Tenant.Retrieve the current value for the Consent Policy Settings directory settings in your tenant. Hiervoor moet worden gecontroleerd of de Directory-instellingen voor deze functie zijn gemaakt en als dat niet het geval is, gebruikt u de waarden uit de bijbehorende sjabloon voor Directory-instellingen.This requires checking if the directory settings for this feature have been created, and if not, using the values from the corresponding directory settings template.

    $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
    $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
    
    if (-not $settings) {
        $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId
        $settings = $template.CreateDirectorySetting()
    }
    
    $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
    
  4. Meer informatie over de instellingen waarde:Understand the settings value:

    InstellingSetting TypeType BeschrijvingDescription
    BlockUserConsentForRiskyAppsBlockUserConsentForRiskyApps Boolean-waardeBoolean Markering die aangeeft of de gebruikers toestemming wordt geblokkeerd wanneer een Risk ante aanvraag wordt gedetecteerd.Flag indicating if user consent will be blocked when a risky request is detected.
  5. Waarde voor de update-instellingen voor de gewenste configuratie:Update settings value for the desired configuration:

    # Disable risk-based step-up consent entirely
    $riskBasedConsentEnabledValue.Value = "False"
    
    # Re-enable risk-based step-up consent, if disabled previously
    $riskBasedConsentEnabledValue.Value = "True"
    
  6. Sla uw instellingen op.Save your settings.

    if ($settings.Id) {
        # Update an existing directory settings
        Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings
    } else {
        # Create a new directory settings to override the default setting 
        New-AzureADDirectorySetting -DirectorySetting $settings
    }
    

Volgende stappenNext steps

Zie voor meer informatie:To learn more:

Om hulp te krijgen of antwoorden op uw vragen te vinden:To get help or find answers to your questions: