Konfigurera hur slutanvändare ger samtycke för appar

  • Artikel

I den här artikeln får du lära dig hur du konfigurerar hur användarna godkänner program och hur du inaktiverar alla framtida åtgärder för användarmedgivande för program.

Innan ett program kan komma åt organisationens data måste en användare ge programmet behörighet för detta. Olika behörigheter tillåter olika åtkomstnivåer. Som standard tillåts alla användare att godkänna program för behörigheter som inte kräver administratörsmedgivande. En användare kan till exempel som standard samtycka till att tillåta att en app får åtkomst till sin postlåda men inte kan samtycka till att tillåta oinskränkt åtkomst till en app att läsa och skriva till alla filer i organisationen.

För att minska risken för att skadliga program försöker lura användare att ge dem åtkomst till organisationens data rekommenderar vi att du endast tillåter användarmedgivande för program som har publicerats av en verifierad utgivare.

Förutsättningar

För att konfigurera användarmedgivande behöver du:

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här konfigurerar du inställningar för användarmedgivande via administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Medgivande och behörigheter>Inställningar för användarmedgivande.

  3. Under Användarmedgivande för program väljer du vilken medgivandeinställning som du vill konfigurera för alla användare.

  4. Spara inställningarna genom att välja Spara.

Screenshot of the 'User consent settings' pane.

Om du vill välja vilken appmedgivandeprincip som styr användarens medgivande för program kan du använda Microsoft Graph PowerShell-modulen . De cmdletar som används här ingår i modulen Microsoft.Graph.Identity.SignIns .

Anslut till Microsoft Graph PowerShell

Anslut till Microsoft Graph PowerShell med den behörighet med minst behörighet som krävs. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization. Du måste logga in som global administratör.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Om du vill inaktivera användarmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Om du vill tillåta användarmedgivande väljer du vilken appmedgivandeprincip som ska styra användarnas auktorisering att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Ersätt {consent-policy-id} med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:

ID beskrivning
microsoft-user-default-low Tillåt användarmedgivande för appar från verifierade utgivare för valda behörigheter
Tillåt endast begränsat användarmedgivande för appar från verifierade utgivare och appar som är registrerade i din klientorganisation och endast för behörigheter som du klassificerar som låg påverkan. (Kom ihåg att klassificera behörigheter för att välja vilka behörigheter som användare får samtycka till.)
microsoft-user-default-legacy Tillåt användarmedgivande för appar
Med det här alternativet kan alla användare godkänna alla behörigheter som inte kräver administratörsmedgivande för alla program

Om du till exempel vill aktivera användarmedgivande som omfattas av den inbyggda principen microsoft-user-default-lowkör du följande kommandon:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Använd Graph Explorer för att välja vilken appmedgivandeprincip som styr användarens medgivande för program. Du måste logga in som global administratör.

Om du vill inaktivera användarmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Om du vill tillåta användarmedgivande väljer du vilken appmedgivandeprincip som ska styra användarnas auktorisering att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Ersätt {consent-policy-id} med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:

ID beskrivning
microsoft-user-default-low Tillåt användarmedgivande för appar från verifierade utgivare för valda behörigheter
Tillåt endast begränsat användarmedgivande för appar från verifierade utgivare och appar som är registrerade i din klientorganisation och endast för behörigheter som du klassificerar som låg påverkan. (Kom ihåg att klassificera behörigheter för att välja vilka behörigheter som användare får samtycka till.)
microsoft-user-default-legacy Tillåt användarmedgivande för appar
Med det här alternativet kan alla användare godkänna alla behörigheter som inte kräver administratörsmedgivande för alla program

Om du till exempel vill aktivera användarmedgivande enligt den inbyggda principen microsoft-user-default-lowanvänder du följande PATCH-kommando:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Dricks

Aktivera arbetsflödet för administratörsmedgivande för att tillåta användare att begära en administratörs granskning och godkännande av ett program som användaren inte har tillåtelse att samtycka till. Du kan till exempel göra detta när användarens medgivande har inaktiverats eller när ett program begär behörigheter som användaren inte får bevilja.

Nästa steg