Sdílet prostřednictvím

Konfigurace způsobu souhlasu uživatelů s aplikacemi

  • Článek

V tomto článku se dozvíte, jak nakonfigurovat způsob, jakým uživatelé souhlasí s aplikacemi, a jak zakázat všechny budoucí operace souhlasu uživatelů s aplikacemi.

Aby aplikace přistupovala k datům vaší organizace, musí mu uživatel udělit oprávnění aplikace. Různá oprávnění umožňují různé úrovně přístupu. Ve výchozím nastavení můžou všichni uživatelé souhlasit s aplikacemi pro oprávnění, která nevyžadují souhlas správce. Ve výchozím nastavení může uživatel například udělit souhlas s povolením přístupu aplikace ke své poštovní schránce, ale nemůže udělit souhlas s povolením nefetterovaného přístupu aplikace ke čtení a zápisu do všech souborů ve vaší organizaci.

Pokud chcete snížit riziko škodlivých aplikací, které se pokoušejí oklamat uživatele, aby jim udělily přístup k datům vaší organizace, doporučujeme povolit souhlas uživatele jenom pro aplikace publikované ověřeným vydavatelem.

Poznámka

Aplikace, které vyžadují, aby uživatelé byli přiřazeni k aplikaci, musí mít souhlas správce, i když zásady souhlasu uživatele pro váš adresář jinak umožní uživateli vyjádřit souhlas jménem sebe sama.

Požadavky

Ke konfiguraci souhlasu uživatele potřebujete:

Spropitné

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Konfigurace nastavení souhlasu uživatele prostřednictvím Centra pro správu Microsoft Entra:

  1. Přihlaste se k Centru pro správu Microsoft Entra jako správce privilegovaných rolí.

  2. Přejděte na Nastavení souhlasu a oprávnění>uživatele k vyjádření souhlasu podnikových>aplikací>identit.>

  3. V části Souhlas uživatele pro aplikace vyberte, které nastavení souhlasu chcete nakonfigurovat pro všechny uživatele.

  4. Nastavení uložíte výběrem možnosti Uložit .

Snímek obrazovky s podoknem Nastavení souhlasu uživatele

Pokud chcete zvolit, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace, můžete použít modul Microsoft Graph PowerShell . Rutiny použité tady jsou součástí modulu Microsoft.Graph.Identity.SignIns .

Připojení k Prostředí Microsoft Graph PowerShell

Připojte se k Prostředí Microsoft Graph PowerShell pomocí oprávnění s nejnižšími oprávněními, které potřebujete. Pro čtení aktuálního nastavení souhlasu uživatele použijte Policy.Read.All. Ke čtení a změně nastavení souhlasu uživatele použijte Policy.ReadWrite.Authorization. Musíte se přihlásit jako správce privilegovaných rolí.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID Popis
Microsoft-user-default-low Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění
Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy Povolit souhlas uživatele pro aplikace
Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud například chcete povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, spusťte následující příkazy:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Pomocí Graph Exploreru vyberte, které zásady souhlasu aplikace řídí souhlas uživatele pro aplikace. Musíte se přihlásit jako správce privilegovaných rolí.

Pokud chcete zakázat souhlas uživatele, ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Pokud chcete povolit souhlas uživatele, zvolte, které zásady souhlasu aplikace by měly řídit autorizaci uživatelů k udělení souhlasu s aplikacemi. Ujistěte se, že zásady souhlasu (PermissionGrantPoliciesAssigned) při aktualizaci kolekce obsahují další aktuální ManagePermissionGrantsForOwnedResource.* zásady. Tímto způsobem můžete zachovat aktuální konfiguraci pro nastavení souhlasu uživatele a další nastavení souhlasu s prostředkem.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Nahraďte {consent-policy-id} ID zásady, kterou chcete použít. Můžete zvolit vlastní zásady souhlasu aplikace, které jste vytvořili, nebo si můžete vybrat z následujících předdefinovaných zásad:

ID Popis
Microsoft-user-default-low Povolení souhlasu uživatele pro aplikace od ověřených vydavatelů pro vybraná oprávnění
Povolit omezený souhlas uživatele jenom pro aplikace od ověřených vydavatelů a aplikací registrovaných ve vašem tenantovi a jenom pro oprávnění, která klasifikujete jako nízký dopad. (Nezapomeňte klasifikovat oprávnění, abyste vybrali, ke kterým oprávněním mají uživatelé oprávnění souhlasit.)
Microsoft-user-default-legacy Povolit souhlas uživatele pro aplikace
Tato možnost umožňuje všem uživatelům udělit souhlas se všemi oprávněními, která nevyžadují souhlas správce pro libovolnou aplikaci.

Pokud chcete například povolit souhlas uživatele s integrovanou zásadou microsoft-user-default-low, použijte následující příkaz PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Spropitné

Pokud chcete uživatelům umožnit požádat správce o kontrolu a schválení aplikace, ke které uživatel nemá souhlas, povolte pracovní postup souhlasu správce. Můžete to udělat například v případě, že byl zakázán souhlas uživatele nebo když aplikace požaduje oprávnění, která uživatel nemůže udělit.

Další kroky