Freigeben über


Konfigurieren der Benutzereinwilligung für Anwendungen

In diesem Artikel erfahren Sie, wie Sie Einstellungen für die Benutzerzustimmung in Microsoft Entra-ID konfigurieren, um zu steuern, wann und wie Benutzer Anwendungen Berechtigungen erteilen. Dieser Leitfaden hilft IT-Administratoren dabei, Sicherheitsrisiken zu reduzieren, indem sie die Benutzerzustimmung einschränken oder deaktivieren.

Bevor eine Anwendung auf die Daten Ihrer Organisation zugreifen kann, muss ein Benutzer der Anwendung eine entsprechende Berechtigungen erteilen. Unterschiedliche Berechtigungen erlauben verschiedene Zugriffsebenen. Standardmäßig sind alle Benutzer berechtigt, in Berechtigungen für Anwendungen einzuwilligen, die keine Administratoreinwilligung erfordern. Standardmäßig kann ein Benutzer beispielsweise einwilligen, dass eine App auf sein Postfach zugreifen kann, er kann aber nicht einwilligen, dass eine App uneingeschränkten Lese- und Schreibzugriff auf alle Dateien in Ihrer Organisation erhält.

Um das Risiko zu verringern, dass böswillige Anwendungen versuchen, Benutzern den Zugriff auf Daten Ihrer Organisation zu gewähren, empfiehlt es sich, die Einwilligung des Benutzers nur für Anwendungen zuzulassen, die von einem verifizierten Herausgeber veröffentlicht wurden.

Hinweis

Anwendungen, denen Benutzer zugewiesen werden müssen, müssen von einem Administrator genehmigt werden, auch wenn die Benutzerzustimmungsrichtlinien für Ihr Verzeichnis andernfalls zulassen würden, dass ein Benutzer im Auftrag von sich selbst zustimmen kann.

Voraussetzungen

Zum Konfigurieren der Benutzererwilligung benötigen Sie:

Sie können einstellungen für die Benutzerzustimmung in Microsoft Entra ID entweder über das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Microsoft Graph-API konfigurieren. Die von Ihnen konfigurierten Einstellungen gelten für alle Benutzer in Ihrer Organisation.

So konfigurieren Sie Einstellungen für die Benutzereinwilligung über das Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Enterprise-Apps>Zustimmung und Berechtigungen>Benutzerzustimmungseinstellungen.

  3. Wählen Sie unter Benutzereinwilligung für Anwendungen aus, welche Einwilligungseinstellung für alle Benutzer konfiguriert werden soll.

  4. Klicken Sie auf Save (Speichern), um Ihre Einstellungen zu speichern.

Screenshot des Bereichs 'Benutzereinwilligungseinstellungen'

Grundlegendes zu Autorisierungs- und Berechtigungserteilungsrichtlinien in Microsoft Graph PowerShell

Um Benutzerzustimmungseinstellungen programmgesteuert mithilfe von Microsoft Graph PowerShell zu konfigurieren, ist es wichtig, die Unterscheidung zwischen der mandantenweiten Autorisierungsrichtlinie und einzelnen Berechtigungserteilungsrichtlinien zu verstehen. Das authorizationPolicymithilfe von Update-MgPolicyAuthorizationPolicy abgerufene Element steuert globale Einstellungen, z. B. ob Benutzer Apps zustimmen können und welche Berechtigungserteilungsrichtlinien der Standardbenutzerrolle zugewiesen sind. Beispielsweise können Sie die Benutzerzustimmung deaktivieren, während Entwickler weiterhin Die Berechtigungen für die Apps verwalten können, die sie besitzen, indem Sie nur ManagePermissionGrantsForOwnedResource.DeveloperConsent in der permissionGrantPoliciesAssigned Sammlung zuweisen.

Auf der anderen Seite listet der Endpoint permissionGrantPolicies Ihre aktuellen Richtlinien für die Berechtigungserteilung auf. Diese Richtlinien bestimmen, welche Berechtigungen Anwendungen erteilt werden können und unter welchen Umständen. Jede Richtlinie enthält bestimmte Bedingungen, schließt aber andere aus. Wenn ein Benutzer versucht, einer Anwendung zuzustimmen, überprüft das System die Richtlinien für die Berechtigungserteilung, um festzustellen, ob eine dieser Richtlinien für die Anforderung des Benutzers gilt. Beispielsweise würde die Richtlinie mit geringem Risiko Benutzern erlauben, diesen Berechtigungen zuzustimmen, die als "niedriges Risiko" konfiguriert sind. Es umfasst diese risikoarmen Richtlinien (als GUID). Wenn ein Benutzer in einem Kontext, der der Richtlinie 'AdminOnly' entspricht, versucht zuzustimmen, kann er nicht zustimmen.

Hinweis

Rufen Sie vor dem Aktualisieren der Zustimmungseinstellungen mit einem Update-MgPolicyPermissionGrantPolicy-Befehl immer den aktuellen authorizationPolicy ab, um zu ermitteln, welche Richtlinien für die Berechtigungserteilung bereits zugewiesen sind. Dadurch wird sichergestellt, dass Sie die erforderlichen Berechtigungen beibehalten, wie etwa die Möglichkeit der Entwickler, die Zustimmung für ihre eigenen Apps zu verwalten, und verhindert wird, dass unbeabsichtigt vorhandene Funktionen entfernt werden.

Verwenden Sie das Microsoft Graph PowerShell-Modul , um auszuwählen, welche App-Zustimmungsrichtlinie die Benutzerzustimmung für Anwendungen regelt. Die hier verwendeten Cmdlets sind im Modul Microsoft.Graph.Identity.SignIns enthalten.

Stellen Sie mit den minimal erforderlichen Berechtigungen eine Verbindung mit Microsoft Graph PowerShell her. Zum Lesen der aktuellen Einstellungen für die Benutzereinwilligung verwenden Sie Policy.Read.All. Verwenden Sie Policy.ReadWrite.Authorization, um die Einstellungen für die Benutzereinwilligung zu lesen und zu ändern. Sie müssen sich als Administrator für privilegierte Rollen anmelden.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:

ID Beschreibung
microsoft-user-default-low Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen
Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.)
microsoft-user-default-legacy Benutzereinwilligung für Apps zulassen
Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert.

Führen Sie beispielsweise die folgenden Befehle zum Aktivieren einer Benutzereinwilligung aus, die der integrierten Richtlinie microsoft-user-default-low unterliegt:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Grundlegendes zu Autorisierungs- und Berechtigungserteilungsrichtlinien in Microsoft Graph

Um Einstellungen für die Benutzerzustimmung programmgesteuert mithilfe von Microsoft Graph zu konfigurieren, ist es wichtig, die Unterscheidung zwischen der mandantenweiten Autorisierungsrichtlinie und einzelnen Berechtigungserteilungsrichtlinien zu verstehen. Die authorizationPolicy (abgerufen mit GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicy) steuert globale Einstellungen, wie zum Beispiel, ob Benutzer Apps zustimmen können und welche Berechtigungsrichtlinien der Standardbenutzerrolle zugewiesen sind. Beispielsweise können Sie die Benutzerzustimmung deaktivieren, während Entwickler weiterhin Die Berechtigungen für die Apps verwalten können, die sie besitzen, indem Sie nur ManagePermissionGrantsForOwnedResource.DeveloperConsent in der permissionGrantPoliciesAssigned Sammlung zuweisen.

Andererseits listet der permissionGrantPolicies Endpunkt (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) Ihre aktuellen Richtlinien für die Berechtigungserteilung auf. Diese Richtlinien bestimmen, welche Berechtigungen Anwendungen erteilt werden können und unter welchen Umständen. Jede Richtlinie enthält bestimmte Bedingungen, schließt aber andere aus. Wenn ein Benutzer versucht, einer Anwendung zuzustimmen, überprüft das System die Richtlinien für die Berechtigungserteilung, um festzustellen, ob eine dieser Richtlinien für die Anforderung des Benutzers gilt. Beispielsweise würde die Richtlinie mit geringem Risiko Benutzern erlauben, diesen Berechtigungen zuzustimmen, die als "niedriges Risiko" konfiguriert sind. Es umfasst diese risikoarmen Richtlinien (als GUID). Wenn ein Benutzer in einem Kontext, der der Richtlinie 'AdminOnly' entspricht, versucht zuzustimmen, kann er nicht zustimmen.

Hinweis

Rufen Sie vor dem Aktualisieren der Zustimmungseinstellungen mit einer PATCH Anfrage immer den aktuellen authorizationPolicy ab, um zu ermitteln, welche Richtlinien für Berechtigungen bereits zugewiesen sind. Dadurch wird sichergestellt, dass Sie die erforderlichen Berechtigungen beibehalten, wie etwa die Möglichkeit der Entwickler, die Zustimmung für ihre eigenen Apps zu verwalten, und verhindert wird, dass unbeabsichtigt vorhandene Funktionen entfernt werden.

Wählen Sie über den Graph-Explorer aus, welche App-Einwilligungsrichtlinie die Benutzereinwilligung für Anwendungen regelt. Sie müssen sich als Administrator für privilegierte Rollen anmelden.

Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:

ID Beschreibung
microsoft-user-default-low Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen
Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.)
microsoft-user-default-legacy Benutzereinwilligung für Apps zulassen
Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert.

Verwenden Sie beispielsweise den folgenden PATCH-Befehl, um die Benutzereinwilligung gemäß der integrierten Richtlinie microsoft-user-default-low zu aktivieren:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Alle Aktualisierungen der Einstellungen für die Benutzerzustimmung wirken sich nur auf zukünftige Zustimmungsvorgänge für Anwendungen aus. Vorhandene Zustimmungserteilungen bleiben unverändert, und Benutzer haben weiterhin Zugriff auf die zuvor erteilten Berechtigungen. Informationen zum Widerrufen vorhandener Zustimmungserteilungen finden Sie unter Überprüfen der Berechtigungen, die Unternehmensanwendungen erteilt wurden.

Tipp

Damit Benutzer die Überprüfung und Genehmigung einer Anwendung durch einen Administrator anfordern können, für die der Benutzer keine Einwilligung geben darf, aktivieren Sie den Workflow für die Administratoreinwilligung. Dies können Sie beispielsweise tun, wenn die Benutzerzuwilligung deaktiviert wurde oder wenn eine Anwendung Berechtigungen an fordert, die der Benutzer nicht erteilen darf.

Nächste Schritte