Konfigurera hur slutanvändare ger samtycke för appar
I den här artikeln får du lära dig hur du konfigurerar hur användarna godkänner program och hur du inaktiverar alla framtida åtgärder för användarmedgivande för program.
Innan ett program kan komma åt organisationens data måste en användare ge programmet behörighet för detta. Olika behörigheter tillåter olika åtkomstnivåer. Som standard tillåts alla användare att godkänna program för behörigheter som inte kräver administratörsmedgivande. En användare kan till exempel som standard samtycka till att tillåta att en app får åtkomst till sin postlåda men inte kan samtycka till att tillåta oinskränkt åtkomst till en app att läsa och skriva till alla filer i organisationen.
För att minska risken för att skadliga program försöker lura användare att ge dem åtkomst till organisationens data rekommenderar vi att du endast tillåter användarmedgivande för program som har publicerats av en verifierad utgivare.
Kommentar
Program som kräver att användare tilldelas till programmet måste ha sina behörigheter medgivande av en administratör, även om användarmedgivandeprinciperna för din katalog annars skulle tillåta en användare att samtycka för sig själva.
Förutsättningar
För att konfigurera användarmedgivande behöver du:
- Ett användarkonto. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
- En privilegierad rolladministratörsroll .
Konfigurera inställningar för användarmedgivande
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Så här konfigurerar du inställningar för användarmedgivande via administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som privilegierad rolladministratör.
Bläddra till Identity>Applications Enterprise-program>>Medgivande och behörigheter>Inställningar för användarmedgivande.
Under Användarmedgivande för program väljer du vilken medgivandeinställning som du vill konfigurera för alla användare.
Spara inställningarna genom att välja Spara.
Om du vill välja vilken appmedgivandeprincip som styr användarens medgivande för program kan du använda Microsoft Graph PowerShell-modulen . De cmdletar som används här ingår i modulen Microsoft.Graph.Identity.SignIns .
Ansluta till Microsoft Graph PowerShell
Anslut till Microsoft Graph PowerShell med den behörighet med minst behörighet som krävs. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization. Du måste logga in som privilegierad rolladministratör.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Inaktivera användarmedgivande
Om du vill inaktivera användarmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Tillåt användarmedgivande som omfattas av en appmedgivandeprincip med hjälp av PowerShell
Om du vill tillåta användarmedgivande väljer du vilken appmedgivandeprincip som ska styra användarnas auktorisering att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Ersätt {consent-policy-id}
med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:
ID | beskrivning |
---|---|
microsoft-user-default-low | Tillåt användarmedgivande för appar från verifierade utgivare för valda behörigheter Tillåt endast begränsat användarmedgivande för appar från verifierade utgivare och appar som är registrerade i din klientorganisation och endast för behörigheter som du klassificerar som låg påverkan. (Kom ihåg att klassificera behörigheter för att välja vilka behörigheter som användare får samtycka till.) |
microsoft-user-default-legacy | Tillåt användarmedgivande för appar Med det här alternativet kan alla användare godkänna alla behörigheter som inte kräver administratörsmedgivande för alla program |
Om du till exempel vill aktivera användarmedgivande som omfattas av den inbyggda principen microsoft-user-default-low
kör du följande kommandon:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Använd Graph Explorer för att välja vilken appmedgivandeprincip som styr användarens medgivande för program. Du måste logga in som privilegierad rolladministratör.
Om du vill inaktivera användarmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Tillåt användarmedgivande som omfattas av en appmedgivandeprincip med hjälp av Microsoft Graph
Om du vill tillåta användarmedgivande väljer du vilken appmedgivandeprincip som ska styra användarnas auktorisering att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller andra aktuella ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Ersätt {consent-policy-id}
med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:
ID | beskrivning |
---|---|
microsoft-user-default-low | Tillåt användarmedgivande för appar från verifierade utgivare för valda behörigheter Tillåt endast begränsat användarmedgivande för appar från verifierade utgivare och appar som är registrerade i din klientorganisation och endast för behörigheter som du klassificerar som låg påverkan. (Kom ihåg att klassificera behörigheter för att välja vilka behörigheter som användare får samtycka till.) |
microsoft-user-default-legacy | Tillåt användarmedgivande för appar Med det här alternativet kan alla användare godkänna alla behörigheter som inte kräver administratörsmedgivande för alla program |
Om du till exempel vill aktivera användarmedgivande enligt den inbyggda principen microsoft-user-default-low
använder du följande PATCH-kommando:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Dricks
Aktivera arbetsflödet för administratörsmedgivande för att tillåta användare att begära en administratörs granskning och godkännande av ett program som användaren inte har tillåtelse att samtycka till. Du kan till exempel göra detta när användarens medgivande har inaktiverats eller när ett program begär behörigheter som användaren inte får bevilja.