Konfigurace způsobu vyjadřování souhlasu uživatelů s aplikacemi
V tomto článku se dozvíte, jak nakonfigurovat způsob, jakým uživatelé souhlasí s aplikacemi, a jak zakázat všechny budoucí operace souhlasu uživatelů s aplikacemi.
Aby mohla aplikace získat přístup k datům vaší organizace, musí jí k tomu uživatel udělit oprávnění. Různá oprávnění umožňují různé úrovně přístupu. Ve výchozím nastavení můžou všichni uživatelé udělit aplikacím souhlas s oprávněními, která nevyžadují souhlas správce. Ve výchozím nastavení může například uživatel udělit souhlas s povolením přístupu aplikace ke své poštovní schránce, ale nemůže povolit aplikaci neomezený přístup ke čtení a zápisu do všech souborů ve vaší organizaci.
Pokud chcete snížit riziko, že se škodlivé aplikace pokusí oklamat uživatele, aby jim udělili přístup k datům vaší organizace, doporučujeme povolit souhlas uživatele jenom pro aplikace publikované ověřeným vydavatelem.
Požadavky
Ke konfiguraci souhlasu uživatele potřebujete:
- Uživatelský účet. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Role globálního správce.
Konfigurace nastavení souhlasu uživatele
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, ze který začínáte.
Konfigurace nastavení souhlasu uživatele prostřednictvím centra pro správu Microsoft Entra:
Přihlaste se k Centru pro správu Microsoft Entra jako globální správce.
Přejděte naAplikace>identit>Podnikové aplikace>– Souhlas a oprávnění>Nastavení souhlasu uživatele.
V části Souhlas uživatele pro aplikace vyberte, které nastavení souhlasu chcete nakonfigurovat pro všechny uživatele.
Vyberte Uložit a nastavení se uloží.
Pokud chcete zvolit, které zásady souhlasu s aplikacemi řídí souhlas uživatelů, můžete použít modul Microsoft Graph PowerShell . Zde použité rutiny jsou součástí modulu Microsoft.Graph.Identity.SignIns .
Připojení k Microsoft Graph PowerShellu
Připojte se k Microsoft Graph PowerShellu pomocí potřebných oprávnění s nejnižšími oprávněními. Pro čtení aktuálního nastavení souhlasu uživatele použijte Policy.Read.All. Ke čtení a změně nastavení souhlasu uživatele použijte Policy.ReadWrite.Authorization. Musíte se přihlásit jako globální správce.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Zakázat souhlas uživatele
Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady (). Tímto způsobem můžete udržovat aktuální konfiguraci nastavení souhlasu uživatele a dalších nastavení souhlasu prostředků.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Povolit souhlas uživatele s výhradou zásad souhlasu s aplikací
Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu s aplikacemi by měly řídit autorizaci uživatelů k udělení souhlasu aplikacím. Při aktualizaci kolekce se ujistěte, že zásady souhlasu (PermissionGrantPoliciesAssigned) obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady, pokud existují. Tímto způsobem můžete udržovat aktuální konfiguraci nastavení souhlasu uživatele a dalších nastavení souhlasu prostředků.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu s aplikacemi , které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:
| ID | Description |
|---|---|
| microsoft-user-default-low | Povolit souhlas uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolte omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací, které jsou zaregistrované ve vašem tenantovi, a jenom pro oprávnění, která klasifikujete jako málo ovlivněná. (Nezapomeňte klasifikovat oprávnění , abyste vybrali, se kterými oprávněními můžou uživatelé souhlasit.) |
| microsoft-user-default-legacy | Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům vyjádřit souhlas s libovolnými oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci. |
Pokud například chcete povolit souhlas uživatele s výjimkou předdefinovaných zásad microsoft-user-default-low, spusťte následující příkazy:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Pomocí Graph Exploreru můžete zvolit, které zásady souhlasu s aplikacemi řídí souhlas uživatelů s aplikacemi.
Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady(). Tímto způsobem můžete udržovat aktuální konfiguraci nastavení souhlasu uživatele a dalších nastavení souhlasu prostředků.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Povolit souhlas uživatele s výhradou zásad souhlasu s aplikací
Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu s aplikacemi by měly řídit autorizaci uživatelů k udělení souhlasu aplikacím. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady( pokud existují). Tímto způsobem můžete udržovat aktuální konfiguraci nastavení souhlasu uživatele a dalších nastavení souhlasu prostředků.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu s aplikacemi , které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:
| ID | Description |
|---|---|
| microsoft-user-default-low | Povolit souhlas uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolte omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací, které jsou zaregistrované ve vašem tenantovi, a jenom pro oprávnění, která klasifikujete jako málo ovlivněná. (Nezapomeňte klasifikovat oprávnění , abyste vybrali, se kterými oprávněními můžou uživatelé souhlasit.) |
| microsoft-user-default-legacy | Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům vyjádřit souhlas s libovolnými oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci. |
Pokud například chcete povolit souhlas uživatele s výjimkou předdefinovaných zásad microsoft-user-default-low, použijte následující příkaz PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Tip
Pokud chcete uživatelům povolit, aby požádali správce o kontrolu a schválení aplikace, se kterou uživatel nesmí souhlasit, povolte pracovní postup souhlasu správce. Můžete to například udělat, když je souhlas uživatele zakázaný nebo když aplikace žádá o oprávnění, která uživatel nemůže udělit.