Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Einstellungen für die Benutzerzustimmung in Microsoft Entra-ID konfigurieren, um zu steuern, wann und wie Benutzer Anwendungen Berechtigungen erteilen. Dieser Leitfaden hilft IT-Administratoren dabei, Sicherheitsrisiken zu reduzieren, indem sie die Benutzerzustimmung einschränken oder deaktivieren.
Bevor eine Anwendung auf die Daten Ihrer Organisation zugreifen kann, muss ein Benutzer der Anwendung eine entsprechende Berechtigungen erteilen. Unterschiedliche Berechtigungen erlauben verschiedene Zugriffsebenen. Standardmäßig sind alle Benutzer berechtigt, in Berechtigungen für Anwendungen einzuwilligen, die keine Administratoreinwilligung erfordern. Standardmäßig kann ein Benutzer beispielsweise einwilligen, dass eine App auf sein Postfach zugreifen kann, er kann aber nicht einwilligen, dass eine App uneingeschränkten Lese- und Schreibzugriff auf alle Dateien in Ihrer Organisation erhält.
Um das Risiko zu verringern, dass böswillige Anwendungen versuchen, Benutzern den Zugriff auf Daten Ihrer Organisation zu gewähren, empfiehlt es sich, die Einwilligung des Benutzers nur für Anwendungen zuzulassen, die von einem verifizierten Herausgeber veröffentlicht wurden.
Hinweis
Anwendungen, denen Benutzer zugewiesen werden müssen, müssen von einem Administrator genehmigt werden, auch wenn die Benutzerzustimmungsrichtlinien für Ihr Verzeichnis andernfalls zulassen würden, dass ein Benutzer im Auftrag von sich selbst zustimmen kann.
Voraussetzungen
Zum Konfigurieren der Benutzererwilligung benötigen Sie:
- Ein Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
- Rolle Administrator für privilegierte Rollen.
- Eine rolle "Globaler Administrator " ist nur erforderlich, wenn Sie das Microsoft Entra Admin Center verwenden.
Konfigurieren von Einstellungen für die Benutzereinwilligung
Sie können einstellungen für die Benutzerzustimmung in Microsoft Entra ID entweder über das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Microsoft Graph-API konfigurieren. Die von Ihnen konfigurierten Einstellungen gelten für alle Benutzer in Ihrer Organisation.
Konfigurieren der Benutzerzustimmung im Microsoft Entra Admin Center
So konfigurieren Sie Einstellungen für die Benutzereinwilligung über das Microsoft Entra Admin Center
Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
Navigieren Sie zu Identität>Anwendungen>Enterprise-Apps>Zustimmung und Berechtigungen>Benutzerzustimmungseinstellungen.
Wählen Sie unter Benutzereinwilligung für Anwendungen aus, welche Einwilligungseinstellung für alle Benutzer konfiguriert werden soll.
Klicken Sie auf Save (Speichern), um Ihre Einstellungen zu speichern.
Grundlegendes zu Autorisierungs- und Berechtigungserteilungsrichtlinien in Microsoft Graph PowerShell
Um Benutzerzustimmungseinstellungen programmgesteuert mithilfe von Microsoft Graph PowerShell zu konfigurieren, ist es wichtig, die Unterscheidung zwischen der mandantenweiten Autorisierungsrichtlinie und einzelnen Berechtigungserteilungsrichtlinien zu verstehen. Das authorizationPolicymithilfe von Update-MgPolicyAuthorizationPolicy abgerufene Element steuert globale Einstellungen, z. B. ob Benutzer Apps zustimmen können und welche Berechtigungserteilungsrichtlinien der Standardbenutzerrolle zugewiesen sind. Beispielsweise können Sie die Benutzerzustimmung deaktivieren, während Entwickler weiterhin Die Berechtigungen für die Apps verwalten können, die sie besitzen, indem Sie nur ManagePermissionGrantsForOwnedResource.DeveloperConsent in der permissionGrantPoliciesAssigned Sammlung zuweisen.
Auf der anderen Seite listet der Endpoint permissionGrantPolicies Ihre aktuellen Richtlinien für die Berechtigungserteilung auf. Diese Richtlinien bestimmen, welche Berechtigungen Anwendungen erteilt werden können und unter welchen Umständen. Jede Richtlinie enthält bestimmte Bedingungen, schließt aber andere aus. Wenn ein Benutzer versucht, einer Anwendung zuzustimmen, überprüft das System die Richtlinien für die Berechtigungserteilung, um festzustellen, ob eine dieser Richtlinien für die Anforderung des Benutzers gilt. Beispielsweise würde die Richtlinie mit geringem Risiko Benutzern erlauben, diesen Berechtigungen zuzustimmen, die als "niedriges Risiko" konfiguriert sind. Es umfasst diese risikoarmen Richtlinien (als GUID). Wenn ein Benutzer in einem Kontext, der der Richtlinie 'AdminOnly' entspricht, versucht zuzustimmen, kann er nicht zustimmen.
Hinweis
Rufen Sie vor dem Aktualisieren der Zustimmungseinstellungen mit einem Update-MgPolicyPermissionGrantPolicy-Befehl immer den aktuellen authorizationPolicy ab, um zu ermitteln, welche Richtlinien für die Berechtigungserteilung bereits zugewiesen sind. Dadurch wird sichergestellt, dass Sie die erforderlichen Berechtigungen beibehalten, wie etwa die Möglichkeit der Entwickler, die Zustimmung für ihre eigenen Apps zu verwalten, und verhindert wird, dass unbeabsichtigt vorhandene Funktionen entfernt werden.
Verwenden Sie das Microsoft Graph PowerShell-Modul , um auszuwählen, welche App-Zustimmungsrichtlinie die Benutzerzustimmung für Anwendungen regelt. Die hier verwendeten Cmdlets sind im Modul Microsoft.Graph.Identity.SignIns enthalten.
Stellen Sie mit den minimal erforderlichen Berechtigungen eine Verbindung mit Microsoft Graph PowerShell her. Zum Lesen der aktuellen Einstellungen für die Benutzereinwilligung verwenden Sie Policy.Read.All. Verwenden Sie Policy.ReadWrite.Authorization, um die Einstellungen für die Benutzereinwilligung zu lesen und zu ändern. Sie müssen sich als Administrator für privilegierte Rollen anmelden.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Deaktivieren der Benutzergenehmigung mithilfe von Microsoft Graph PowerShell
Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Benutzereinwilligung, die einer Richtlinie zur Einwilligung für die App unterliegt, mithilfe von PowerShell zulassen
Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:
| ID | Beschreibung |
|---|---|
| microsoft-user-default-low | Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.) |
| microsoft-user-default-legacy | Benutzereinwilligung für Apps zulassen Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert. |
Führen Sie beispielsweise die folgenden Befehle zum Aktivieren einer Benutzereinwilligung aus, die der integrierten Richtlinie microsoft-user-default-low unterliegt:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Grundlegendes zu Autorisierungs- und Berechtigungserteilungsrichtlinien in Microsoft Graph
Um Einstellungen für die Benutzerzustimmung programmgesteuert mithilfe von Microsoft Graph zu konfigurieren, ist es wichtig, die Unterscheidung zwischen der mandantenweiten Autorisierungsrichtlinie und einzelnen Berechtigungserteilungsrichtlinien zu verstehen. Die authorizationPolicy (abgerufen mit GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicy) steuert globale Einstellungen, wie zum Beispiel, ob Benutzer Apps zustimmen können und welche Berechtigungsrichtlinien der Standardbenutzerrolle zugewiesen sind. Beispielsweise können Sie die Benutzerzustimmung deaktivieren, während Entwickler weiterhin Die Berechtigungen für die Apps verwalten können, die sie besitzen, indem Sie nur ManagePermissionGrantsForOwnedResource.DeveloperConsent in der permissionGrantPoliciesAssigned Sammlung zuweisen.
Andererseits listet der permissionGrantPolicies Endpunkt (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) Ihre aktuellen Richtlinien für die Berechtigungserteilung auf. Diese Richtlinien bestimmen, welche Berechtigungen Anwendungen erteilt werden können und unter welchen Umständen. Jede Richtlinie enthält bestimmte Bedingungen, schließt aber andere aus. Wenn ein Benutzer versucht, einer Anwendung zuzustimmen, überprüft das System die Richtlinien für die Berechtigungserteilung, um festzustellen, ob eine dieser Richtlinien für die Anforderung des Benutzers gilt. Beispielsweise würde die Richtlinie mit geringem Risiko Benutzern erlauben, diesen Berechtigungen zuzustimmen, die als "niedriges Risiko" konfiguriert sind. Es umfasst diese risikoarmen Richtlinien (als GUID). Wenn ein Benutzer in einem Kontext, der der Richtlinie 'AdminOnly' entspricht, versucht zuzustimmen, kann er nicht zustimmen.
Hinweis
Rufen Sie vor dem Aktualisieren der Zustimmungseinstellungen mit einer PATCH Anfrage immer den aktuellen authorizationPolicy ab, um zu ermitteln, welche Richtlinien für Berechtigungen bereits zugewiesen sind. Dadurch wird sichergestellt, dass Sie die erforderlichen Berechtigungen beibehalten, wie etwa die Möglichkeit der Entwickler, die Zustimmung für ihre eigenen Apps zu verwalten, und verhindert wird, dass unbeabsichtigt vorhandene Funktionen entfernt werden.
Wählen Sie über den Graph-Explorer aus, welche App-Einwilligungsrichtlinie die Benutzereinwilligung für Anwendungen regelt. Sie müssen sich als Administrator für privilegierte Rollen anmelden.
Deaktivieren der Benutzergenehmigung mithilfe von Microsoft Graph
Um die Benutzereinwilligung zu deaktivieren, stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Die Benutzereinwilligung gemäß einer App-Einwilligungsrichtlinie mithilfe von Microsoft Graph zulassen.
Um die Benutzereinwilligung zuzulassen, wählen Sie aus, welche Einwilligungsrichtlinie für Apps die Autorisierung von Benutzern zum Erteilen einer Einwilligung für eine App steuern soll. Stellen Sie sicher, dass die Einwilligungsrichtlinien (PermissionGrantPoliciesAssigned) beim Aktualisieren der Sammlung weitere aktuelle ManagePermissionGrantsForOwnedResource.*-Richtlinien umfassen, sofern vorhanden. Auf diese Weise können Sie Ihre aktuelle Konfiguration der Einstellungen für die Benutzereinwilligung und für andere Ressourceneinwilligungen beibehalten.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Ersetzen Sie {consent-policy-id} durch die ID der Richtlinie, die Sie anwenden möchten. Sie können eine von Ihnen erstellte benutzerdefinierte Richtlinie zur Einwilligung für die App wählen oder aus den folgenden integrierten Richtlinien auswählen:
| ID | Beschreibung |
|---|---|
| microsoft-user-default-low | Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen Erlauben Sie eingeschränkte Benutzereinwilligung nur für Apps von verifizierten Herausgebern und für in Ihrem Mandanten registrierte Apps, sowie nur für Berechtigungen, die Sie als geringe Auswirkung klassifizieren. (Denken Sie daran, Berechtigungen zu klassifizieren, um auszuwählen, in welche Berechtigungen Benutzer einwilligen dürfen.) |
| microsoft-user-default-legacy | Benutzereinwilligung für Apps zulassen Diese Option ermöglicht es allen Benutzern, für beliebige Anwendungen in eine beliebige Berechtigung einzuwilligen, die keine Administratoreinwilligung erfordert. |
Verwenden Sie beispielsweise den folgenden PATCH-Befehl, um die Benutzereinwilligung gemäß der integrierten Richtlinie microsoft-user-default-low zu aktivieren:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Alle Aktualisierungen der Einstellungen für die Benutzerzustimmung wirken sich nur auf zukünftige Zustimmungsvorgänge für Anwendungen aus. Vorhandene Zustimmungserteilungen bleiben unverändert, und Benutzer haben weiterhin Zugriff auf die zuvor erteilten Berechtigungen. Informationen zum Widerrufen vorhandener Zustimmungserteilungen finden Sie unter Überprüfen der Berechtigungen, die Unternehmensanwendungen erteilt wurden.
Tipp
Damit Benutzer die Überprüfung und Genehmigung einer Anwendung durch einen Administrator anfordern können, für die der Benutzer keine Einwilligung geben darf, aktivieren Sie den Workflow für die Administratoreinwilligung. Dies können Sie beispielsweise tun, wenn die Benutzerzuwilligung deaktiviert wurde oder wenn eine Anwendung Berechtigungen an fordert, die der Benutzer nicht erteilen darf.