Настройка способа согласия пользователей на использование приложений
Статья
Чтение занимает 2 мин
Спасибо!
В этой статье вы узнаете, как настроить способ согласия пользователей на приложения и как отключить все будущие операции согласия пользователей на приложения.
Прежде чем приложение сможет получить доступ к данным организации, пользователь должен предоставить ему разрешения. Различные разрешения позволяют использовать разные уровни доступа. По умолчанию всем пользователям разрешено предоставлять согласие на разрешения приложений, не требующие согласия администратора. Например, по умолчанию пользователь может предоставить приложению разрешение на доступ к своему почтовому ящику, но не может дать приложению неограниченный доступ на чтение и запись для всех файлов в организации.
Важно!
Чтобы снизить риск того, что вредоносные приложения попытаются обманным путем заставить пользователей предоставить им доступ к данным организации, рекомендуется разрешить согласие пользователя только для приложений, опубликованных проверенным издателем.
Предварительные требования
Чтобы настроить согласие пользователя, вам потребуется следующее.
Выберите Azure Active Directory>Корпоративные приложения>Согласия и разрешения>Параметры согласия пользователя.
В разделе Согласие пользователя для приложений выберите параметр согласия, который вы хотите настроить для всех пользователей.
Нажмите кнопку Save (Сохранить), чтобы сохранить настройки.
Вы можете использовать модуль Azure AD PowerShell, чтобы выбрать политику согласия приложения, которая будет управлять согласием пользователя для приложений.
Примечание
В приведенных ниже инструкциях используется общедоступный модуль Azure AD PowerShell (AzureAD). В предварительной версии этого модуля (AzureADPreview) имена параметров отличаются. Если установлены оба модуля, убедитесь, что вы используете командлет из правильного модуля, воспользовавшись сначала следующей командой:
Разрешение на согласие пользователя в соответствии с политикой согласия приложения
Чтобы разрешить согласие пользователя, выберите, какая политика согласия приложения должна регулировать авторизацию пользователей для предоставления согласия приложениям:
Замените {consent-policy-id} идентификатором политики, которую вы хотите применить. Вы можете выбрать созданную вами настраиваемую политику согласия для приложений или выбрать одну из следующих встроенных политик:
ID
Описание
microsoft-user-default-low
Разрешить согласие пользователей на приложения от проверенных издателей для выбранных разрешений Разрешить ограниченное согласие пользователя только для приложений от проверенных издателей и приложений, зарегистрированных в вашем клиенте, и только для разрешений, которые вы классифицируете как Низкое влияние. (Обязательно разделите разрешения на категории, чтобы выбрать, какие разрешения могут предоставлять пользователи.)
microsoft-user-default-legacy
Разрешить согласие пользователей для приложений Этот параметр позволяет всем пользователям предоставлять любому приложению согласие на любое разрешение, которое не требует согласия администратора
Например, чтобы разрешить согласие пользователя в соответствии со встроенной политикой microsoft-user-default-low, выполните следующие команды:
Чтобы позволить пользователям запрашивать рассмотрение и утверждения приложения, для которого пользователю не разрешено предоставлять согласие, включите рабочий процесс предоставления согласия администратора. Это можно сделать, например, когда согласие пользователя отключено или приложение запрашивает разрешения, которые пользователю запрещено предоставлять.
