Teilen über


Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung mithilfe von PowerShell

In diesem Artikel erfahren Sie, wie Sie risikobasierte hochgestufte Einwilligungen in Microsoft Entra ID konfigurieren. Die risikobasierte hochgestufte Einwilligung trägt zur Reduzierung der Benutzergefährdung durch böswillige Apps bei, die unrechtmäßige Einwilligungsanforderungen ausgeben.

Beispielsweise werden Anforderungen zur Einwilligung für neu registrierte Apps mit mehreren Mandanten, die nicht von einem verifizierten Herausgeber stammen und Nichtstandardberechtigungen erfordern, als riskant eingestuft. Wenn eine riskante Benutzereinwilligungsanforderung erkannt wird, erfordert die Anforderung stattdessen einen "Schritt nach oben" für die Administratoreinwilligung. Diese Funktion ist standardmäßig aktiviert, führt jedoch nur zu einer Änderung des Verhaltens, wenn die Endbenutzereinwilligung aktiviert ist.

Wird eine risikobehaftete Einwilligungsanforderung erkannt, wird in der Einwilligungsaufforderung eine Meldung angezeigt, die besagt, dass eine Administratorgenehmigung erforderlich ist. Wenn der Workflow zum Anfordern der Administratoreinwilligung aktiviert ist, kann der Benutzer die Anforderung zur weiteren Überprüfung direkt von der Einwilligungsaufforderung an einen Administrator senden. Wenn der Workflow für die Anforderung der Administratorgenehmigung nicht aktiviert ist, wird die folgende Meldung angezeigt:

AADSTS90094: <clientAppDisplayName> benötigt eine Berechtigung zum Zugriff auf Ressourcen in Ihrer Organisation, die nur ein*e Administrator*in erteilen kann. Bitten Sie eine*n Administrator*in, die Berechtigungen für diese App zu erteilen, damit Sie die App verwenden können.

In diesem Fall wird auch ein Überwachungsereignis der Kategorie „ApplicationManagement“ mit dem Aktivitätstyp „Einwilligung in Anwendung“ und dem Statusgrund „Riskante Anwendung erkannt“ protokolliert.

Voraussetzungen

Zum Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung benötigen Sie Folgendes:

Mit dem Microsoft Graph PowerShell-Beta-Modul können Sie die Hochstufung auf Administratoreinwilligung deaktivieren, wenn ein Risiko erkannt wurde, oder aktivieren, wenn sie zuvor deaktiviert wurde.

Wichtig

Stellen Sie sicher, dass Sie das Microsoft Graph PowerShell-Beta-Cmdlets-Modul verwenden.

  1. Führen Sie den folgenden Befehl aus:

    Install-Module Microsoft.Graph.Beta
    
  2. Stellen Sie eine Verbindung mit Microsoft Graph PowerShell her:

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    
  3. Rufen Sie den aktuellen Wert für die Verzeichniseinstellungen der Zustimmungsrichtlinieneinstellungen in Ihrem Mandanten ab. Dazu muss überprüft werden, ob die Verzeichniseinstellungen für dieses Feature erstellt wurden. Wenn sie nicht erstellt wurden, verwenden Sie die Werte aus der entsprechenden Vorlage für Verzeichniseinstellungen.

    $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
    $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
    if (-not $settings) {
        $params = @{
            TemplateId = $consentSettingsTemplateId
            Values = @(
                @{ 
                    Name = "BlockUserConsentForRiskyApps"
                    Value = "True"
                }
                @{ 
                    Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                    Value = "<groupId>"
                }
                @{ 
                    Name = "EnableAdminConsentRequests"
                    Value = "True"
                }
                @{ 
                    Name = "EnableGroupSpecificConsent"
                    Value = "True"
                }
            )
        }
        $settings = New-MgBetaDirectorySetting -BodyParameter $params
    }
    $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
    
  4. Überprüfen Sie den Wert:

    $riskBasedConsentEnabledValue
    

    Grundlegendes zum Einstellungswert:

    Einstellung type BESCHREIBUNG
    BlockUserConsentForRiskyApps Boolean Ein Flag, das angibt, ob die Benutzereinwilligung beim Erkennen einer risikobehafteten Anforderung blockiert wird.
  5. Um den Wert von BlockUserConsentForRiskyApps zu ändern, verwenden Sie das Cmdlet Update-MgBetaDirectorySetting.

    $params = @{
        TemplateId = $consentSettingsTemplateId
        Values = @(
            @{ 
                Name = "BlockUserConsentForRiskyApps"
                Value = "False"
            }
            @{ 
                Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                Value = "<groupId>"
            }
            @{ 
                Name = "EnableAdminConsentRequests"
                Value = "True"
            }
            @{ 
                Name = "EnableGroupSpecificConsent"
                Value = "True"
            }
        )
    }
    Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params
    

Nächste Schritte