Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung mithilfe von PowerShell

In diesem Artikel erfahren Sie, wie Sie die risikobasierte Schrittweise Zustimmung in der Microsoft Entra-ID konfigurieren. Die risikobasierte hochgestufte Einwilligung trägt zur Reduzierung der Benutzergefährdung durch böswillige Apps bei, die unrechtmäßige Einwilligungsanforderungen ausgeben.

Beispielsweise werden Anforderungen zur Einwilligung für neu registrierte Apps mit mehreren Mandanten, die nicht von einem verifizierten Herausgeber stammen und Nichtstandardberechtigungen erfordern, als risikobehaftet eingestuft. Wenn eine riskante Benutzereinwilligungsanforderung erkannt wird, erfordert die Anforderung stattdessen einen "Schritt nach oben" für die Administratoreinwilligung. Diese Funktion ist standardmäßig aktiviert, führt jedoch nur zu einer Änderung des Verhaltens, wenn die Endbenutzereinwilligung aktiviert ist.

Wird eine risikobehaftete Einwilligungsanforderung erkannt, wird in der Einwilligungsaufforderung eine Meldung angezeigt, die besagt, dass eine Administratorgenehmigung erforderlich ist. Wenn der Workflow zum Anfordern der Administratoreinwilligung aktiviert ist, kann der Benutzer die Anforderung zur weiteren Überprüfung direkt von der Einwilligungsaufforderung an einen Administrator senden. Wenn der Workflow für die Anforderung der Administratorgenehmigung nicht aktiviert ist, wird die folgende Meldung angezeigt:

AADSTS90094: <clientAppDisplayName> benötigt eine Berechtigung zum Zugriff auf Ressourcen in Ihrer Organisation, die nur ein Administrator erteilen kann. Bitten Sie eine*n Administrator*in, die Berechtigungen für diese App zu erteilen, damit Sie die App verwenden können.

In diesem Fall wird auch ein Überwachungsereignis der Kategorie „ApplicationManagement“ mit dem Aktivitätstyp „Einwilligung in Anwendung“ und dem Statusgrund „Riskante Anwendung erkannt“ protokolliert.

Voraussetzungen

Zum Konfigurieren der risikobasierten Schritt-auf-Schritt-Zustimmung benötigen Sie Folgendes:

• Ein Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Ein Administrator für privilegierte Rollen.

Deaktivieren oder erneutes Aktivieren der risikobasierten hochgestuften Einwilligung mit PowerShell

Verwenden Sie das Microsoft Graph PowerShell-Betamodul , um den Administratorschritt zu deaktivieren oder zu aktivieren, wenn ein Risiko erkannt wird.

Wichtig

Stellen Sie sicher, dass Sie das Microsoft Graph PowerShell-Beta-Cmdlets-Modul verwenden.

1. Führen Sie den folgenden Befehl aus:

   Install-Module Microsoft.Graph.Beta
   

2. Stellen Sie eine Verbindung mit Microsoft Graph PowerShell her:

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Rufen Sie den aktuellen Wert für die Verzeichniseinstellungen der Einwilligungsrichtlinieneinstellungen in Ihrem Mandanten ab. Um dies zu tun, muss überprüft werden, ob die Verzeichniseinstellungen für diese Funktion erstellt wurden. Wenn sie nicht erstellt werden, verwenden Sie die Werte aus der entsprechenden Verzeichniseinstellungsvorlage.

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   if (-not $settings) {
       $params = @{
           TemplateId = $consentSettingsTemplateId
           Values = @(
               @{ 
                   Name = "BlockUserConsentForRiskyApps"
                   Value = "True"
               }
               @{ 
                   Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                   Value = "<groupId>"
               }
               @{ 
                   Name = "EnableAdminConsentRequests"
                   Value = "True"
               }
               @{ 
                   Name = "EnableGroupSpecificConsent"
                   Value = "True"
               }
           )
       }
       $settings = New-MgBetaDirectorySetting -BodyParameter $params
   }
   $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
   

4. Überprüfen Sie den Wert:

   $riskBasedConsentEnabledValue
   

   Grundlegendes zum Einstellungswert:

   Einstellung	Typ	Beschreibung
   Blockieren von Benutzerzustimmungen für riskante Apps	Boolescher Wert	Ein Kennzeichen, das angibt, ob die Zustimmung des Benutzers blockiert wird, wenn eine riskante Anforderung erkannt wird.

5. Um den Wert von BlockUserConsentForRiskyApps zu ändern, verwenden Sie das Cmdlet Update-MgBetaDirectorySetting.

   $params = @{
       TemplateId = $consentSettingsTemplateId
       Values = @(
           @{ 
               Name = "BlockUserConsentForRiskyApps"
               Value = "False"
           }
           @{ 
               Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
               Value = "<groupId>"
           }
           @{ 
               Name = "EnableAdminConsentRequests"
               Value = "True"
           }
           @{ 
               Name = "EnableGroupSpecificConsent"
               Value = "True"
           }
       )
   }
   Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params
   

Nächste Schritte

• Verwalten von Richtlinien zur Einwilligung für die App
• Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)