Annak konfigurálása, hogy a felhasználók hogyan járulnak hozzá az alkalmazásokhoz
Ebből a cikkből megtudhatja, hogyan konfigurálhatja a felhasználók alkalmazásokhoz való hozzájárulását, és hogyan tilthatja le az összes jövőbeli felhasználói hozzájárulási műveletet az alkalmazásokban.
Ahhoz, hogy egy alkalmazás hozzáférhessen a szervezet adataihoz, a felhasználónak engedélyt kell adnia erre az alkalmazásnak. A különböző engedélyek különböző hozzáférési szinteket biztosítanak. Alapértelmezés szerint minden felhasználó számára engedélyezett, hogy rendszergazdai hozzájárulást nem igénylő engedélyekkel rendelkező alkalmazásokhoz járuljon hozzá. A felhasználók például alapértelmezés szerint engedélyezhetik, hogy az alkalmazások hozzáférjenek a postaládájukhoz, de nem járulhatnak hozzá ahhoz, hogy egy alkalmazás korlátlan hozzáférést biztosítson a szervezet összes fájljához való olvasáshoz és íráshoz.
Annak érdekében, hogy csökkenjen annak a kockázata, hogy a rosszindulatú alkalmazások megpróbálják rávenni a felhasználókat arra, hogy hozzáférést biztosítsanak a szervezet adataihoz, javasoljuk, hogy csak az ellenőrzött közzétevő által közzétett alkalmazásokhoz engedélyezze a felhasználói hozzájárulást.
Jegyzet
Azoknak az alkalmazásoknak, amelyekhez felhasználókat kell hozzárendelni az alkalmazáshoz, rendszergazdai engedélyekkel kell rendelkezniük, még akkor is, ha a címtár felhasználói hozzájárulási szabályzatai egyébként lehetővé tennék a felhasználó számára, hogy saját nevében hozzájáruljanak.
Előfeltételek
A felhasználói hozzájárulás konfigurálásához a következőkre van szüksége:
- Egy felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Kiemelt szerepkör-rendszergazdai szerepkör.
Felhasználói hozzájárulási beállítások konfigurálása
Borravaló
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Felhasználói hozzájárulási beállítások konfigurálása a Microsoft Entra felügyeleti központban:
Jelentkezzen be a Microsoft Entra Felügyeleti központba kiemelt szerepkör-rendszergazdaként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és adja meg a felhasználói hozzájárulási beállításokat.>
Az alkalmazások felhasználói beleegyezése csoportban válassza ki, hogy melyik hozzájárulási beállítást szeretné konfigurálni az összes felhasználóhoz.
A beállítások mentéséhez válassza a Mentés lehetőséget.
A Microsoft Graph PowerShell modul használatával kiválaszthatja, hogy mely alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazások felhasználói beleegyezését. Az itt használt parancsmagok a Microsoft.Graph.Identity.SignIns modulban találhatók.
Csatlakozás a Microsoft Graph PowerShell-hez
Csatlakozzon a Microsoft Graph PowerShellhez a minimális jogosultsági jogosultsággal. Az aktuális felhasználói hozzájárulási beállítások elolvasásához használja a Policy.Read.All parancsot. A felhasználói hozzájárulási beállítások olvasásához és módosításához használja a Policy.ReadWrite.Authorization parancsot. Kiemelt szerepkör-rendszergazdaként kell bejelentkeznie.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Felhasználói hozzájárulás letiltása
A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Alkalmazás-hozzájárulási szabályzathoz kötött felhasználói hozzájárulás engedélyezése a PowerShell használatával
A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Cserélje le {consent-policy-id}
az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:
AZONOSÍTÓ | Leírás |
---|---|
microsoft-user-default-low | Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.) |
microsoft-user-default-legacy | Felhasználói hozzájárulás engedélyezése alkalmazásokhoz Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz |
Ha például engedélyezni szeretné a felhasználói hozzájárulást a beépített szabályzatnak microsoft-user-default-low
megfelelően, futtassa a következő parancsokat:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
A Graph Explorerrel kiválaszthatja, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza az alkalmazásokhoz való felhasználói hozzájárulást. Kiemelt szerepkör-rendszergazdaként kell bejelentkeznie.
A felhasználói hozzájárulás letiltásához győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Alkalmazás-jóváhagyási szabályzat hatálya alá tartozó felhasználói hozzájárulás engedélyezése a Microsoft Graph használatával
A felhasználói hozzájárulás engedélyezéséhez válassza ki, hogy melyik alkalmazás-hozzájárulási szabályzat szabályozza a felhasználók engedélyét az alkalmazásokhoz való hozzájárulás megadásához. Győződjön meg arról, hogy a hozzájárulási szabályzatok (PermissionGrantPoliciesAssigned
) a gyűjtemény frissítésekor más aktuális ManagePermissionGrantsForOwnedResource.*
szabályzatokat is tartalmaznak. Így fenntarthatja a felhasználói hozzájárulási beállítások és egyéb erőforrás-hozzájárulási beállítások aktuális konfigurációját.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Cserélje le {consent-policy-id}
az alkalmazni kívánt szabályzat azonosítójára. Kiválaszthatja a létrehozott egyéni alkalmazás-jóváhagyási szabályzatot , vagy választhat a következő beépített szabályzatok közül:
AZONOSÍTÓ | Leírás |
---|---|
microsoft-user-default-low | Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől származó alkalmazásokhoz a kiválasztott engedélyekhez Csak a bérlőben regisztrált ellenőrzött közzétevőktől és alkalmazásoktól származó alkalmazásokhoz engedélyezze a korlátozott felhasználói hozzájárulást, és csak azokat az engedélyeket, amelyeket alacsony hatásnak minősít. (Ne felejtse el osztályozni az engedélyeket annak kiválasztásához, hogy a felhasználók mely engedélyekhez járulhatnak hozzá.) |
microsoft-user-default-legacy | Felhasználói hozzájárulás engedélyezése alkalmazásokhoz Ez a beállítás lehetővé teszi minden felhasználó számára, hogy minden olyan engedélyhez hozzájáruljon, amely nem igényel rendszergazdai hozzájárulást bármely alkalmazáshoz |
Ha például engedélyezni szeretné a beépített szabályzat microsoft-user-default-low
hatálya alá tartozó felhasználói hozzájárulást, használja a következő PATCH parancsot:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Borravaló
Ha engedélyezni szeretné, hogy a felhasználók rendszergazdai felülvizsgálatot és jóváhagyást kérjenek egy olyan alkalmazásról, amelyhez a felhasználó nem járulhat hozzá, engedélyezze a rendszergazdai hozzájárulási munkafolyamatot. Ezt például akkor teheti meg, ha a felhasználói hozzájárulás le van tiltva, vagy ha egy alkalmazás olyan engedélyeket kér, amelyeket a felhasználó nem adhat meg.