Freigeben über


Konfigurieren der Benutzereinwilligung für Anwendungen

In diesem Artikel erfahren Sie, wie Sie die Art und Weise konfigurieren, in der Benutzer ihre Einwilligung zu Anwendungen erteilen, und wie Sie alle zukünftigen Benutzereinwilligungsvorgänge für Anwendungen deaktivieren können.

Bevor eine Anwendung auf die Daten Ihrer Organisation zugreifen kann, muss ein Benutzer der Anwendung eine entsprechende Berechtigungen erteilen. Unterschiedliche Berechtigungen erlauben verschiedene Zugriffsebenen. Standardmäßig sind alle Benutzer berechtigt, in Berechtigungen für Anwendungen einzuwilligen, die keine Administratoreinwilligung erfordern. Standardmäßig kann ein Benutzer beispielsweise einwilligen, dass eine App auf sein Postfach zugreifen kann, er kann aber nicht einwilligen, dass eine App uneingeschränkten Lese- und Schreibzugriff auf alle Dateien in Ihrer Organisation erhält.

Um das Risiko zu verringern, dass böswillige Anwendungen versuchen, Benutzern den Zugriff auf Daten Ihrer Organisation zu gewähren, empfiehlt es sich, die Einwilligung des Benutzers nur für Anwendungen zuzulassen, die von einem verifizierten Herausgeber veröffentlicht wurden.

Hinweis

Für Anwendungen, bei denen Benutzer der Anwendung zugewiesen werden müssen, ist die Genehmigung der Berechtigungen durch einen Administrator erforderlich. Dies gilt auch dann, wenn die Richtlinien für die Benutzereinwilligung für Ihr Unternehmen es einem Benutzer erlauben würden, die Genehmigung im eigenen Namen zu erteilen.

Voraussetzungen

Zum Konfigurieren der Benutzereinwilligung benötigen Sie:

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So konfigurieren Sie Einstellungen für die Benutzereinwilligung über das Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra Admin Center mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu den Einstellungen unter Identität>Anwendungen>Unternehmensanwendungen>Zustimmung und Berechtigungen>Einstellungen für die Benutzereinwilligung.

  3. Wählen Sie unter Benutzereinwilligung für Anwendungen aus, welche Einwilligungseinstellung für alle Benutzer konfiguriert werden soll.

  4. Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.

Screenshot: Einstellungsbereich für Benutzereinwilligung.

Sie können anhand des Microsoft Graph PowerShell-Moduls auswählen, welche App-Einwilligungsrichtlinie die Benutzereinwilligung für Anwendungen regeln soll. Die hier verwendeten Cmdlets sind im Modul Microsoft.Graph.Identity.SignIns enthalten.

Herstellen einer Verbindung mit Microsoft Graph PowerShell

Stellen Sie mit den minimal erforderlichen Berechtigungen eine Verbindung mit Microsoft Graph PowerShell her. Zum Lesen der aktuellen Einstellungen für die Benutzereinwilligung verwenden Sie Policy.Read.All. Verwenden Sie Policy.ReadWrite.Authorization, um die Einstellungen für die Benutzereinwilligung zu lesen und zu ändern. Sie müssen sich als Administrator für privilegierte Rollen anmelden.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:

ID Beschreibung
microsoft-user-default-low Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen
Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.)
microsoft-user-default-legacy Benutzereinwilligung für Apps zulassen
Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert.

Führen Sie beispielsweise die folgenden Befehle zum Aktivieren einer Benutzereinwilligung aus, die der integrierten Richtlinie microsoft-user-default-low unterliegt:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Wählen Sie über den Graph-Explorer aus, welche App-Einwilligungsrichtlinie die Benutzereinwilligung für Anwendungen regelt. Sie müssen sich als Administrator für privilegierte Rollen anmelden.

Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:

ID Beschreibung
microsoft-user-default-low Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen
Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.)
microsoft-user-default-legacy Benutzereinwilligung für Apps zulassen
Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert.

Verwenden Sie beispielsweise den folgenden PATCH-Befehl, um die Benutzereinwilligung gemäß der integrierten Richtlinie microsoft-user-default-low zu aktivieren:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Tipp

Damit Benutzer die Überprüfung und Genehmigung einer Anwendung durch einen Administrator anfordern können, für die der Benutzer keine Einwilligung geben darf, aktivieren Sie den Workflow für die Administratoreinwilligung. Dies können Sie beispielsweise tun, wenn die Benutzereinwilligung deaktiviert wurde oder wenn eine Anwendung Berechtigungen an fordert, die der Benutzer nicht erteilen darf.

Nächste Schritte