Konfigurace způsobu vyjadřování souhlasu uživatelů s aplikacemi

V tomto článku se dozvíte, jak nakonfigurovat nastavení souhlasu uživatele v Microsoft Entra ID, abyste mohli řídit, kdy a jak uživatelé udělovali oprávnění aplikacím. Tyto pokyny pomáhají správcům IT snížit rizika zabezpečení omezením nebo zakázáním souhlasu uživatele.

Aby mohla aplikace získat přístup k datům vaší organizace, musí jí k tomu uživatel udělit oprávnění. Různá oprávnění umožňují různé úrovně přístupu. Ve výchozím nastavení můžou všichni uživatelé udělit aplikacím souhlas s oprávněními, která nevyžadují souhlas správce. Ve výchozím nastavení může uživatel například udělit souhlas s povolením přístupu aplikace ke své poštovní schránce, ale nemůže udělit souhlas s povolením nefetterovaného přístupu aplikace ke čtení a zápisu do všech souborů ve vaší organizaci.

Pokud chcete snížit riziko škodlivých aplikací, které se pokoušejí oklamat uživatele, aby jim udělily přístup k datům vaší organizace, doporučujeme povolit souhlas uživatele jenom pro aplikace publikované ověřeným vydavatelem.

Poznámka:

Aplikace, které vyžadují, aby uživatelé byli přiřazeni k aplikaci, musí mít souhlas správce, i když zásady souhlasu uživatele pro váš adresář jinak umožní souhlas uživatele jménem sebe sama.

Požadavky

Ke konfiguraci souhlasu uživatele potřebujete:

• Uživatelský účet. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Role privilegovaný správce rolí.
• Role globálního správce se vyžaduje jenom při použití Centra pro správu Microsoft Entra.

Konfigurace nastavení souhlasu uživatele

Nastavení souhlasu uživatele v MICROSOFT Entra ID můžete nakonfigurovat pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Nastavení, která nakonfigurujete, platí pro všechny uživatele ve vaší organizaci.

Konfigurace souhlasu uživatele v Centru pro správu Microsoft Entra

Konfigurace nastavení souhlasu uživatele prostřednictvím Centra pro správu Microsoft Entra:

1. Přihlaste se do centra pro správu Microsoft Entra jako Globální správce.

2. Přejděte na Identita>Aplikace>Podnikové aplikace>Souhlas a oprávnění>Nastavení souhlasu uživatelů.

3. V části Souhlas uživatele pro aplikace vyberte, které nastavení souhlasu chcete nakonfigurovat pro všechny uživatele.

4. Vyberte Uložit pro uložení nastavení.

Principy zásad autorizace a udělení oprávnění v Microsoft Graph PowerShellu

Pokud chcete nakonfigurovat nastavení souhlasu uživatele prostřednictvím kódu programu pomocí Microsoft Graph PowerShellu, je důležité pochopit rozdíl mezi zásadami autorizace pro celého tenanta a jednotlivými zásadami udělení oprávnění. Načtený authorizationPolicy pomocí Update-MgPolicyAuthorizationPolicy řídí globální nastavení, jako je například to, zda uživatelé mohou souhlasit s aplikacemi a které zásady udělení oprávnění jsou přiřazeny k výchozí roli uživatele. Můžete například zakázat souhlas uživatele a zároveň umožnit vývojářům spravovat oprávnění pro aplikace, které vlastní, tak, že přiřadíte jenom ManagePermissionGrantsForOwnedResource.DeveloperConsent v kolekci permissionGrantPoliciesAssigned .

Na druhou stranu koncový bod permissionGrantPolicies uvádí aktuální zásady udělení oprávnění. Tyto zásady určují, jaká oprávnění se dají udělit aplikacím a za jakých okolností. Každá zásada "zahrnuje" určité podmínky, ale "vylučuje" ostatní. Když se uživatel pokusí udělit souhlas s aplikací, systém zkontroluje zásady udělení oprávnění a zjistí, jestli se některá z nich vztahuje na žádost uživatele. Například zásady s nízkým rizikem umožňují uživatelům udělit souhlas s těmito oprávněními nakonfigurovanými jako nízká rizika. Zahrnuje tyto zásady s nízkým rizikem (jako identifikátor GUID). Pokud se uživatel pokusí v jiném scénáři odsouhlasit v kontextu, který odpovídá zásadám AdminOnly, nemůže souhlasit.

Poznámka:

Před aktualizací nastavení souhlasu pomocí příkazu Update-MgPolicyPermissionGrantPolicy vždy získejte aktuální authorizationPolicy, abyste zjistili, které zásady udělení oprávnění jsou již přiřazeny. Tím zajistíte, že zachováte potřebná oprávnění, jako jsou ti, kteří vývojářům umožňují spravovat souhlas pro aplikace, které vlastní, a zabráníte neúmyslnému odebrání existujících funkcí.

Pokud chcete zvolit, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace, použijte modul Microsoft Graph PowerShell . Cmdlety použité zde jsou součástí modulu Microsoft.Graph.Identity.SignIns.

Připojte se k prostředí Microsoft Graph PowerShell pomocí co nejmenších potřebných oprávnění. Pro čtení aktuálního nastavení souhlasu uživatele použijte Policy.Read.All. Ke čtení a změně nastavení souhlasu uživatele použijte Policy.ReadWrite.Authorization. Musíte se přihlásit jako správce privilegovaných rolí.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Zakázání souhlasu uživatele pomocí Microsoft Graph PowerShellu

Pokud chcete zakázat souhlas uživatele, ujistěte se, že při aktualizaci kolekce zásady souhlasu (PermissionGrantPoliciesAssigned) zahrnují i další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředky.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Povolení souhlasu uživatele v souladu se zásadami souhlasu aplikace pomocí PowerShellu

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální zásady ManagePermissionGrantsForOwnedResource.*, pokud nějaké existují. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředky.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Nahraďte {consent-policy-id} s ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace , které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID	Popis
Nastavení nízkého uživatelského rozhraní Microsoft	Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění , abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy	Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud například chcete povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, spusťte následující příkazy:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Principy zásad autorizace a udělení oprávnění v Microsoft Graphu

Pokud chcete nakonfigurovat nastavení souhlasu uživatele programově pomocí Microsoft Graphu, je důležité pochopit rozdíl mezi zásadami autorizace na úrovni celého tenanta a jednotlivými zásadami udělení oprávnění. ( authorizationPolicy načtené pomocí GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicy) řídí globální nastavení, jako je například to, jestli uživatelé můžou udělit souhlas s aplikacemi a které zásady udělení oprávnění jsou přiřazeny k výchozí roli uživatele. Můžete například zakázat souhlas uživatele a zároveň umožnit vývojářům spravovat oprávnění pro aplikace, které vlastní, tak, že přiřadíte jenom ManagePermissionGrantsForOwnedResource.DeveloperConsent v kolekci permissionGrantPoliciesAssigned .

Na druhé straně koncový bod permissionGrantPolicies (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) uvádí aktuální zásady udělení oprávnění. Tyto zásady určují, jaká oprávnění se dají udělit aplikacím a za jakých okolností. Každá zásada "zahrnuje" určité podmínky, ale "vylučuje" ostatní. Když se uživatel pokusí udělit souhlas s aplikací, systém zkontroluje zásady udělení oprávnění a zjistí, jestli se některá z nich vztahuje na žádost uživatele. Například zásady s nízkým rizikem umožňují uživatelům udělit souhlas s těmito oprávněními nakonfigurovanými jako nízká rizika. Zahrnuje tyto zásady s nízkým rizikem (jako identifikátor GUID). Pokud se uživatel pokusí v jiném scénáři odsouhlasit v kontextu, který odpovídá zásadám AdminOnly, nemůže souhlasit.

Poznámka:

Než pomocí požadavku PATCH aktualizujete nastavení souhlasu, vždy načtěte aktuální authorizationPolicy, abyste zjistili, které zásady udělení oprávnění jsou už přiřazené. Tím zajistíte, že zachováte potřebná oprávnění, jako jsou ti, kteří vývojářům umožňují spravovat souhlas pro aplikace, které vlastní, a zabráníte neúmyslnému odebrání existujících funkcí.

Pomocí Graph Exploreru vyberte, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace. Musíte se přihlásit jako správce privilegovaných rolí.

Zakázání souhlasu uživatele pomocí Microsoft Graphu

Pokud chcete zakázat souhlas uživatele, ujistěte se, že při aktualizaci kolekce zásady souhlasu (PermissionGrantPoliciesAssigned) zahrnují i další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředky.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Povolení souhlasu uživatele v souladu se zásadami souhlasu aplikace pomocí Microsoft Graphu

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální zásady ManagePermissionGrantsForOwnedResource.*, pokud nějaké existují. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředky.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Nahraďte {consent-policy-id} s ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace , které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID	Popis
Nastavení nízkého uživatelského rozhraní Microsoft	Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění , abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy	Povolit souhlas uživatele pro aplikace Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud chcete například povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, použijte následující příkaz PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Všechny aktualizace nastavení souhlasu uživatele mají vliv jenom na budoucí operace souhlasu pro aplikace. Stávající udělení souhlasu zůstane beze změny a uživatelé budou mít nadále přístup na základě dříve udělených oprávnění. Informace o odvolání stávajících udělení souhlasu najdete v tématu Kontrola oprávnění udělených podnikovým aplikacím.

Návod

Pokud chcete uživatelům umožnit požádat správce o kontrolu a schválení aplikace, ke které uživatel nemá souhlas, povolte pracovní postup souhlasu správce. Můžete to udělat například v případě, že byl zakázán souhlas uživatele nebo když aplikace požaduje oprávnění, která uživatel nemůže udělit.

Další kroky

• Správa zásad souhlasu aplikací
• Konfigurace pracovního postupu souhlasu správce