Udostępnij za pośrednictwem


Konfigurowanie sposobu, w jaki użytkownicy wyrażają zgodę na aplikacje

W tym artykule dowiesz się, jak skonfigurować sposób, w jaki użytkownicy wyrażają zgodę na aplikacje i jak wyłączyć wszystkie przyszłe operacje zgody użytkownika na aplikacje.

Aby aplikacja mogła uzyskać dostęp do danych organizacji, użytkownik musi udzielić aplikacji odpowiednich uprawnień. Różne uprawnienia umożliwiają uzyskiwanie dostępu na różnych poziomach. Domyślnie wszyscy użytkownicy mogą wyrażać zgodę na aplikacje w przypadku uprawnień, które nie wymagają zgody administratora. Na przykład domyślnie użytkownik może wyrazić zgodę na zezwolenie aplikacji na dostęp do skrzynki pocztowej, ale nie może wyrazić zgody na dostęp aplikacji do odczytu i zapisu we wszystkich plikach w organizacji.

Aby zmniejszyć ryzyko złośliwych aplikacji próbujących skłonić użytkowników do udzielenia im dostępu do danych organizacji, zalecamy zezwolenie na zgodę użytkownika tylko dla aplikacji opublikowanych przez zweryfikowanego wydawcę.

Uwaga

Aplikacje, które wymagają przypisania użytkowników do aplikacji, muszą mieć zgodę administratora, nawet jeśli zasady zgody użytkownika dla katalogu w przeciwnym razie zezwoliłyby użytkownikowi na wyrażanie zgody w imieniu siebie.

Wymagania wstępne

Aby skonfigurować zgodę użytkownika, potrzebne są następujące elementy:

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby skonfigurować ustawienia zgody użytkownika za pośrednictwem centrum administracyjnego firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Identity>Applications Dla aplikacji>>dla przedsiębiorstw Zgoda i uprawnienia>Ustawienia zgody użytkownika.

  3. W obszarze Zgoda użytkownika dla aplikacji wybierz ustawienie zgody, które chcesz skonfigurować dla wszystkich użytkowników.

  4. Wybierz pozycję Zapisz, aby zapisać swoje ustawienia.

Zrzut ekranu przedstawiający okienko

Aby wybrać, które zasady zgody aplikacji określają zgodę użytkownika dla aplikacji, możesz użyć modułu Microsoft Graph PowerShell . Polecenia cmdlet używane tutaj znajdują się w module Microsoft.Graph.Identity.SignIns .

Nawiązywanie połączenia z programem Microsoft Graph PowerShell

Połącz się z programem Microsoft Graph PowerShell przy użyciu wymaganych uprawnień o najniższych uprawnieniach. Aby odczytać bieżące ustawienia zgody użytkownika, użyj opcji Policy.Read.All. Aby odczytywać i zmieniać ustawienia zgody użytkownika, użyj pozycji Policy.ReadWrite.Authorization. Musisz zalogować się jako administrator ról uprzywilejowanych.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Aby wyłączyć zgodę użytkownika, upewnij się, że zasady zgody (PermissionGrantPoliciesAssigned) zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady, jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Aby zezwolić na zgodę użytkownika, wybierz zasady zgody aplikacji, które powinny zarządzać autoryzacją użytkowników w celu udzielenia zgody na aplikacje. Upewnij się, że zasady zgody () zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady,PermissionGrantPoliciesAssigned jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Zastąp {consent-policy-id} element identyfikatorem zasad, które chcesz zastosować. Możesz wybrać niestandardowe zasady zgody aplikacji utworzone lub wybrać następujące wbudowane zasady:

ID opis
microsoft-user-default-low Zezwalaj na zgodę użytkownika dla aplikacji zweryfikowanych wydawców dla wybranych uprawnień
Zezwalaj na ograniczoną zgodę użytkownika tylko dla aplikacji ze zweryfikowanych wydawców i aplikacji zarejestrowanych w dzierżawie oraz tylko dla uprawnień sklasyfikowanych jako niskie skutki. (Pamiętaj, aby sklasyfikować uprawnienia , aby wybrać uprawnienia, które użytkownicy mogą wyrazić zgodę).
microsoft-user-default-legacy Zezwalaj na zgodę użytkownika dla aplikacji
Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji

Aby na przykład włączyć zgodę użytkownika podlegają wbudowanym zasadom microsoft-user-default-low, uruchom następujące polecenia:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Użyj Eksploratora programu Graph, aby wybrać, które zasady zgody aplikacji określają zgodę użytkownika dla aplikacji. Musisz zalogować się jako administrator ról uprzywilejowanych.

Aby wyłączyć zgodę użytkownika, upewnij się, że zasady zgody (PermissionGrantPoliciesAssigned) zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady, jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Aby zezwolić na zgodę użytkownika, wybierz zasady zgody aplikacji, które powinny zarządzać autoryzacją użytkowników w celu udzielenia zgody na aplikacje. Upewnij się, że zasady zgody () zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady,PermissionGrantPoliciesAssigned jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Zastąp {consent-policy-id} element identyfikatorem zasad, które chcesz zastosować. Możesz wybrać niestandardowe zasady zgody aplikacji utworzone lub wybrać następujące wbudowane zasady:

ID opis
microsoft-user-default-low Zezwalaj na zgodę użytkownika dla aplikacji zweryfikowanych wydawców dla wybranych uprawnień
Zezwalaj na ograniczoną zgodę użytkownika tylko dla aplikacji ze zweryfikowanych wydawców i aplikacji zarejestrowanych w dzierżawie oraz tylko dla uprawnień sklasyfikowanych jako niskie skutki. (Pamiętaj, aby sklasyfikować uprawnienia , aby wybrać uprawnienia, które użytkownicy mogą wyrazić zgodę).
microsoft-user-default-legacy Zezwalaj na zgodę użytkownika dla aplikacji
Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji

Aby na przykład włączyć zgodę użytkownika podlega wbudowanym zasadom microsoft-user-default-low, użyj następującego polecenia PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Napiwek

Aby umożliwić użytkownikom żądanie przeglądu i zatwierdzenia aplikacji przez administratora, do którego użytkownik nie może wyrazić zgody, włącz przepływ pracy zgody administratora. Na przykład można to zrobić, gdy zgoda użytkownika została wyłączona lub gdy aplikacja żąda uprawnień, które użytkownik nie może udzielić.

Następne kroki