Konfigurace způsobu vyjadřování souhlasu uživatelů s aplikacemi
V tomto článku se dozvíte, jak nakonfigurovat způsob, jakým uživatelé souhlasí s aplikacemi, a jak zakázat všechny budoucí operace souhlasu uživatelů s aplikacemi.
Aby mohla aplikace získat přístup k datům vaší organizace, musí jí k tomu uživatel udělit oprávnění. Různá oprávnění umožňují různé úrovně přístupu. Ve výchozím nastavení můžou všichni uživatelé udělit aplikacím souhlas s oprávněními, která nevyžadují souhlas správce. Ve výchozím nastavení může uživatel například udělit souhlas s povolením přístupu aplikace ke své poštovní schránce, ale nemůže udělit souhlas s povolením nefetterovaného přístupu aplikace ke čtení a zápisu do všech souborů ve vaší organizaci.
Pokud chcete snížit riziko škodlivých aplikací, které se pokoušejí oklamat uživatele, aby jim udělily přístup k datům vaší organizace, doporučujeme povolit souhlas uživatele jenom pro aplikace publikované ověřeným vydavatelem.
Poznámka:
Aplikace, které vyžadují, aby uživatelé byli přiřazeni k aplikaci, musí mít souhlas správce, i když zásady souhlasu uživatele pro váš adresář jinak umožní uživateli vyjádřit souhlas jménem sebe sama.
Požadavky
Ke konfiguraci souhlasu uživatele potřebujete:
- Uživatelský účet. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Role správce privilegovaných rolí.
Konfigurace nastavení souhlasu uživatele
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Konfigurace nastavení souhlasu uživatele prostřednictvím Centra pro správu Microsoft Entra:
Přihlaste se k Centru pro správu Microsoft Entra jako správce privilegovaných rolí.
Přejděte na Nastavení souhlasu a oprávnění>uživatele k vyjádření souhlasu podnikových>aplikací>identit.>
V části Souhlas uživatele pro aplikace vyberte, které nastavení souhlasu chcete nakonfigurovat pro všechny uživatele.
Vyberte Uložit a nastavení se uloží.
Pokud chcete zvolit, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace, můžete použít modul Microsoft Graph PowerShell . Rutiny použité tady jsou součástí modulu Microsoft.Graph.Identity.SignIns .
Připojení k Prostředí Microsoft Graph PowerShell
Připojte se k Prostředí Microsoft Graph PowerShell pomocí oprávnění s nejnižšími oprávněními, které potřebujete. Pro čtení aktuálního nastavení souhlasu uživatele použijte Policy.Read.All. Ke čtení a změně nastavení souhlasu uživatele použijte Policy.ReadWrite.Authorization. Musíte se přihlásit jako správce privilegovaných rolí.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Zakázání souhlasu uživatele
Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned
) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.*
zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Povolení souhlasu uživatele v souladu se zásadami souhlasu aplikace pomocí PowerShellu
Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned
) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.*
zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Nahraďte {consent-policy-id}
ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:
ID | Popis |
---|---|
Microsoft-user-default-low | Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.) |
Microsoft-user-default-legacy | Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci. |
Pokud například chcete povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low
, spusťte následující příkazy:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Pomocí Graph Exploreru vyberte, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace. Musíte se přihlásit jako správce privilegovaných rolí.
Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned
) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.*
zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Povolení souhlasu uživatele v souladu se zásadami souhlasu aplikace pomocí Microsoft Graphu
Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned
) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.*
zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Nahraďte {consent-policy-id}
ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:
ID | Popis |
---|---|
Microsoft-user-default-low | Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.) |
Microsoft-user-default-legacy | Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci. |
Pokud chcete například povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low
, použijte následující příkaz PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Tip
Pokud chcete uživatelům umožnit požádat správce o kontrolu a schválení aplikace, ke které uživatel nemá souhlas, povolte pracovní postup souhlasu správce. Můžete to udělat například v případě, že byl zakázán souhlas uživatele nebo když aplikace požaduje oprávnění, která uživatel nemůže udělit.