Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung mithilfe von PowerShell

In diesem Artikel erfahren Sie, wie Sie risikobasierte hochgestufte Einwilligungen in Microsoft Entra ID konfigurieren. Die risikobasierte hochgestufte Einwilligung trägt zur Reduzierung der Benutzergefährdung durch böswillige Apps bei, die unrechtmäßige Einwilligungsanforderungen ausgeben.

Beispielsweise werden Anforderungen zur Einwilligung für neu registrierte Apps mit mehreren Mandanten, die nicht von einem verifizierten Herausgeber stammen und Nichtstandardberechtigungen erfordern, als riskant eingestuft. Wenn eine riskante Benutzereinwilligungsanforderung erkannt wird, erfordert die Anforderung stattdessen einen "Schritt nach oben" für die Administratoreinwilligung. Diese Funktion ist standardmäßig aktiviert, führt jedoch nur zu einer Änderung des Verhaltens, wenn die Endbenutzereinwilligung aktiviert ist.

Wird eine risikobehaftete Einwilligungsanforderung erkannt, wird in der Einwilligungsaufforderung eine Meldung angezeigt, die besagt, dass eine Administratorgenehmigung erforderlich ist. Wenn der Workflow zum Anfordern der Administratoreinwilligung aktiviert ist, kann der Benutzer die Anforderung zur weiteren Überprüfung direkt von der Einwilligungsaufforderung an einen Administrator senden. Wenn der Workflow für die Anforderung der Administratorgenehmigung nicht aktiviert ist, wird die folgende Meldung angezeigt:

AADSTS90094: <clientAppDisplayName> benötigt eine Berechtigung zum Zugriff auf Ressourcen in Ihrer Organisation, die nur ein*e Administrator*in erteilen kann. Bitten Sie eine*n Administrator*in, die Berechtigungen für diese App zu erteilen, damit Sie die App verwenden können.

In diesem Fall wird auch ein Überwachungsereignis der Kategorie „ApplicationManagement“ mit dem Aktivitätstyp „Einwilligung in Anwendung“ und dem Statusgrund „Riskante Anwendung erkannt“ protokolliert.

Voraussetzungen

Zum Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung benötigen Sie Folgendes:

• Ein Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Ein Admin für privilegierte Rollen.

Deaktivieren oder erneutes Aktivieren der risikobasierten hochgestuften Einwilligung mit PowerShell

Mit dem Microsoft Graph PowerShell-Beta-Modul können Sie die Hochstufung auf Administratoreinwilligung deaktivieren, wenn ein Risiko erkannt wurde, oder aktivieren, wenn sie zuvor deaktiviert wurde.

Wichtig

Stellen Sie sicher, dass Sie das Microsoft Graph PowerShell-Beta-Cmdlets-Modul verwenden.

1. Führen Sie den folgenden Befehl aus:

   Install-Module Microsoft.Graph.Beta
   

2. Stellen Sie eine Verbindung mit Microsoft Graph PowerShell her:

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Rufen Sie den aktuellen Wert für die Verzeichniseinstellungen der Zustimmungsrichtlinieneinstellungen in Ihrem Mandanten ab. Dazu muss überprüft werden, ob die Verzeichniseinstellungen für dieses Feature erstellt wurden. Wenn sie nicht erstellt wurden, verwenden Sie die Werte aus der entsprechenden Vorlage für Verzeichniseinstellungen.

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   if (-not $settings) {
       $params = @{
           TemplateId = $consentSettingsTemplateId
           Values = @(
               @{ 
                   Name = "BlockUserConsentForRiskyApps"
                   Value = "True"
               }
               @{ 
                   Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                   Value = "<groupId>"
               }
               @{ 
                   Name = "EnableAdminConsentRequests"
                   Value = "True"
               }
               @{ 
                   Name = "EnableGroupSpecificConsent"
                   Value = "True"
               }
           )
       }
       $settings = New-MgBetaDirectorySetting -BodyParameter $params
   }
   $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
   

4. Überprüfen Sie den Wert:

   $riskBasedConsentEnabledValue
   

   Grundlegendes zum Einstellungswert:

   Einstellung	type	BESCHREIBUNG
   BlockUserConsentForRiskyApps	Boolean	Ein Flag, das angibt, ob die Benutzereinwilligung beim Erkennen einer risikobehafteten Anforderung blockiert wird.

5. Um den Wert von BlockUserConsentForRiskyApps zu ändern, verwenden Sie das Cmdlet Update-MgBetaDirectorySetting.

   $params = @{
       TemplateId = $consentSettingsTemplateId
       Values = @(
           @{ 
               Name = "BlockUserConsentForRiskyApps"
               Value = "False"
           }
           @{ 
               Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
               Value = "<groupId>"
           }
           @{ 
               Name = "EnableAdminConsentRequests"
               Value = "True"
           }
           @{ 
               Name = "EnableGroupSpecificConsent"
               Value = "True"
           }
       )
   }
   Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params
   

Nächste Schritte

• Verwalten von Richtlinien zur Einwilligung für die App
• Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)