Alkalmazás-hozzájárulási szabályzatok kezelése

  • Cikk

Az alkalmazás-hozzájárulási szabályzatokkal kezelheti azokat az engedélyeket, amelyekkel az alkalmazások hozzáférhetnek a szervezet adataihoz. Ezek segítségével szabályozható, hogy a felhasználók milyen alkalmazásokhoz járulhatnak hozzá, és hogy az alkalmazások megfeleljenek bizonyos feltételeknek, mielőtt hozzáférnének az adatokhoz. Ezek a szabályzatok segítenek a szervezeteknek az adatok feletti ellenőrzés fenntartásában, és biztosítják, hogy csak megbízható alkalmazásokhoz biztosítsanak hozzáférést.

Ebből a cikkből megtudhatja, hogyan kezelheti a beépített és egyéni alkalmazás-hozzájárulási szabályzatokat annak érdekében, hogy szabályozhassa, mikor adható meg a hozzájárulás.

A Microsoft Graph és a Microsoft Graph PowerShell segítségével megtekintheti és kezelheti az alkalmazás-hozzájárulási szabályzatokat.

Az alkalmazás-hozzájárulási szabályzatok egy vagy több "belefoglalás" feltételkészletből és nulla vagy több "kizárási" feltételkészletből állnak. Ahhoz, hogy egy eseményt figyelembe lehessen venni egy alkalmazás-jóváhagyási szabályzatban, meg kell egyeznie legalább egy "belefoglalás" feltételkészlettel, és nem egyezhet meg egyetlen "kizárási" feltételkészlettel sem .

Minden feltételkészlet több feltételből áll. Ahhoz, hogy egy esemény megfeleljen egy feltételkészletnek, a feltételkészlet összes feltételének teljesülnie kell.

Az alkalmazás-hozzájárulási szabályzatok, amelyekben az azonosító a "microsoft"-val kezdődik, beépített szabályzatok. Ezen beépített szabályzatok némelyike a meglévő beépített címtárszerepkörökben használatos. Az alkalmazás-hozzájárulási szabályzat például azokat a feltételeket írja le, microsoft-application-admin amelyek mellett az alkalmazás-Rendszergazda istrator- és felhőalkalmazás-Rendszergazda istrator szerepkörök bérlőszintű rendszergazdai hozzájárulást adhatnak. A beépített szabályzatok egyéni címtárszerepkörökben és felhasználói hozzájárulási beállítások konfigurálására használhatók, de nem szerkeszthetők és nem törölhetők.

Előfeltételek

  • Egy felhasználó vagy szolgáltatás az alábbi szerepkörök egyikével:
    • Globális Rendszergazda istrator címtárszerepkör
    • Privileged Role Rendszergazda istrator directory role
    • Egyéni címtárszerepkör az alkalmazás-hozzájárulási szabályzatok kezeléséhez szükséges engedélyekkel
    • A Microsoft Graph alkalmazásszerepköre (alkalmazásengedély) Policy.ReadWrite.PermissionGrant alkalmazásként vagy szolgáltatásként való csatlakozáskor

Ha alkalmazás-jóváhagyási szabályzatokat szeretne kezelni az alkalmazásokhoz a Microsoft Graph PowerShell használatával, csatlakozzon a Microsoft Graph PowerShellhez.

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Először is érdemes megismerkednie a szervezet meglévő alkalmazás-hozzájárulási szabályzataival:

  1. Az összes alkalmazás-hozzájárulási szabályzat listázása:

    Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description

  2. Tekintse meg egy szabályzat "belefoglalás" feltételkészletét:

    Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId "microsoft-application-admin" | fl

  3. Tekintse meg a "kizárás" feltételkészleteket:

    Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId "microsoft-application-admin" | fl

Kövesse az alábbi lépéseket egy egyéni alkalmazás-hozzájárulási szabályzat létrehozásához:

  1. Hozzon létre egy új üres alkalmazás-hozzájárulási szabályzatot.

    New-MgPolicyPermissionGrantPolicy `
    -Id "my-custom-policy" `
    -DisplayName "My first custom consent policy" `
    -Description "This is a sample custom app consent policy."

  2. Adja hozzá a "include" feltételkészleteket.

    # Include delegated permissions classified "low", for apps from verified publishers
New-MgPolicyPermissionGrantPolicyInclude `
    -PermissionGrantPolicyId "my-custom-policy" `
    -PermissionType "delegated" `
    -PermissionClassification "low" `
    -ClientApplicationsFromVerifiedPublisherOnly

    Ismételje meg ezt a lépést további "belefoglalás" feltételkészletek hozzáadásához.

  3. Igény szerint adjon hozzá "kizárás" feltételkészleteket.

    # Retrieve the service principal for the Azure Management API
$azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"

# Exclude delegated permissions for the Azure Management API
New-MgPolicyPermissionGrantPolicyExclude `
    -PermissionGrantPolicyId "my-custom-policy" `
    -PermissionType "delegated" `
    -ResourceApplication $azureApi.AppId

    Ismételje meg ezt a lépést további "kizárási" feltételkészletek hozzáadásához.

Az alkalmazás-jóváhagyási szabályzat létrehozása után hozzá kell rendelnie egy egyéni szerepkörhöz a Microsoft Entra ID-ban. Ezután hozzá kell rendelnie a felhasználókat az egyéni szerepkörhöz, amely a létrehozott alkalmazás-jóváhagyási szabályzathoz van csatolva. Az alkalmazás-hozzájárulási szabályzat egyéni szerepkörhöz való hozzárendeléséről további információt az egyéni szerepkörök alkalmazás-hozzájárulási engedélyeivel kapcsolatban talál.

Az alábbi parancsmag bemutatja, hogyan törölhet egyéni alkalmazás-hozzájárulási szabályzatokat.

   Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-policy"

Az alkalmazás-hozzájárulási szabályzatok kezeléséhez jelentkezzen be a Graph Explorerbe az előfeltétel szakaszban felsorolt szerepkörök egyikével.

Hozzá kell járulnia az Policy.ReadWrite.PermissionGrant engedélyhez.

Először is érdemes megismerkednie a szervezet meglévő alkalmazás-hozzájárulási szabályzataival:

  1. Az összes alkalmazás-hozzájárulási szabályzat listázása:

    GET /policies/permissionGrantPolicies?$select=id,displayName,description

  2. Tekintse meg egy szabályzat "belefoglalás" feltételkészletét:

    GET /policies/permissionGrantPolicies/{ microsoft-application-admin }/includes

  3. Tekintse meg a "kizárás" feltételkészleteket:

    GET /policies/permissionGrantPolicies/{ microsoft-application-admin }/excludes

Kövesse az alábbi lépéseket egy egyéni alkalmazás-hozzájárulási szabályzat létrehozásához:

  1. Hozzon létre egy új üres alkalmazás-hozzájárulási szabályzatot.

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies
Content-Type: application/json

{
  "id": "my-custom-policy",
  "displayName": "My first custom consent policy",
  "description": "This is a sample custom app consent policy"
}

  2. Adja hozzá a "include" feltételkészleteket.

    "Alacsony" besorolású delegált engedélyek belefoglalása ellenőrzött közzétevőktől származó alkalmazásokhoz

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-policy }/includes
Content-Type: application/json

{
  "permissionType": "delegated",
  "PermissionClassification": "low",
  "clientApplicationsFromVerifiedPublisherOnly": true
}

    Ismételje meg ezt a lépést további "belefoglalás" feltételkészletek hozzáadásához.

  3. Igény szerint adjon hozzá "kizárás" feltételkészleteket. Az Azure Management API delegált engedélyeinek kizárása (appId 46e6adf4-a9cf-4b60-9390-0ba6fb00bf6b)

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/my-custom-policy /excludes
Content-Type: application/json

{
  "permissionType": "delegated",
  "resourceApplication": "46e6adf4-a9cf-4b60-9390-0ba6fb00bf6b "
}

    Ismételje meg ezt a lépést további "kizárási" feltételkészletek hozzáadásához.

Az alkalmazás-jóváhagyási szabályzat létrehozása után hozzá kell rendelnie egy egyéni szerepkörhöz a Microsoft Entra ID-ban. Ezután hozzá kell rendelnie a felhasználókat az egyéni szerepkörhöz, amely a létrehozott alkalmazás-jóváhagyási szabályzathoz van csatolva. Az alkalmazás-hozzájárulási szabályzat egyéni szerepkörhöz való hozzárendeléséről további információt az egyéni szerepkörök alkalmazás-hozzájárulási engedélyeivel kapcsolatban talál.

  1. Az alábbiakban bemutatjuk, hogyan törölhet egyéni alkalmazás-hozzájárulási szabályzatokat.

    DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy

Figyelmeztetés

A törölt alkalmazás-hozzájárulási szabályzatok nem állíthatók vissza. Ha véletlenül töröl egy egyéni alkalmazás-hozzájárulási szabályzatot, újra létre kell hoznia a szabályzatot.

Támogatott feltételek

Az alábbi táblázat az alkalmazás-hozzájárulási szabályzatok támogatott feltételeinek listáját tartalmazza.

Feltétel Leírás
Engedélyosztályosítás A megadott engedély engedélybesorolása vagy az "összes" az engedélybesoroláshoz (beleértve a nem besorolt engedélyeket is). Az alapértelmezett érték az "összes".
PermissionType A megadott engedély engedélytípusa. Az alkalmazásengedélyekhez (például alkalmazásszerepkörökhöz) vagy a delegált engedélyekhez használja az "alkalmazás" kifejezést.

Megjegyzés: A "delegatedUserConsentable" érték olyan delegált engedélyeket jelöl, amelyeket az API-közzétevő nem konfigurált rendszergazdai hozzájárulás megkövetelésére. Ez az érték használható a beépített engedély-engedélyezési szabályzatokban, de egyéni engedély-engedélyezési szabályzatokban nem használható. Szükséges.
ResourceApplication Annak az erőforrásalkalmazásnak az AppId azonosítója (például az API), amelyhez engedélyt adnak, vagy "bármely" az erőforrásalkalmazással vagy API-val való egyeztetéshez. Az alapértelmezett érték "bármely".
Engedélyek Az adott engedélyekhez tartozó engedélyazonosítók listája, vagy egy olyan lista, amelynek egyetlen "all" értéke megegyezik bármilyen engedéllyel. Az alapértelmezett érték az "összes" érték.
- A delegált engedélyazonosítók az API ServicePrincipal objektumának OAuth2Permissions tulajdonságában találhatók.
- Az alkalmazásengedély-azonosítók az API ServicePrincipal objektumának AppRoles tulajdonságában találhatók.
ClientApplicationIds Az ügyfélalkalmazások AppId-értékeinek listája, vagy egy olyan lista, amely egyetlen "all" értékkel rendelkezik az ügyfélalkalmazások egyezéséhez. Az alapértelmezett érték az "összes" érték.
ClientApplicationTenantIds Azon Microsoft Entra-bérlőazonosítók listája, amelyekben az ügyfélalkalmazás regisztrálva van, vagy egy lista egyetlen "all" értékkel, amely megfelel a bármely bérlőben regisztrált ügyfélalkalmazásoknak. Az alapértelmezett érték az "összes" érték.
ClientApplicationPublisherIds A Microsoft Partner Network (MPN) azonosítóinak listája az ügyfélalkalmazás igazolt közzétevői számára, vagy egy olyan lista, amely egyetlen "all" értékkel rendelkezik, hogy megfeleljen a közzétevők ügyfélalkalmazásainak. Az alapértelmezett érték az "összes" érték.
ClientApplicationsFromVerifiedPublisherOnly Állítsa ezt a kapcsolót úgy, hogy csak ellenőrzött közzétevőkkel rendelkező ügyfélalkalmazások esetében egyezzen. Tiltsa le ezt a kapcsolót (-ClientApplicationsFromVerifiedPublisherOnly:$false) bármely ügyfélalkalmazásban való egyeztetéshez, még akkor is, ha nem rendelkezik ellenőrzött közzétevővel. Az alapértelmezett szint a $false.
scopeType Az erőforrás-hatókör típusa, amelyre az előszűrés vonatkozik. Lehetséges értékek: groupcsoportokhoz és csoportokhoz, chat csevegésekhez vagy tenant bérlői szintű hozzáféréshez. Szükséges.
sensitivityLabels A hatókörtípusra vonatkozó bizalmassági címkék, amelyek nincsenek előre alkalmazva. Lehetővé teszi a bizalmas szervezeti adatok védelmét. Tudnivalók a bizalmassági címkékről. Megjegyzés: A csevegési erőforrás még nem támogatja a bizalmasságicímkék használatát.

Következő lépések

Ha segítségre van szüksége, vagy választ szeretne kapni a kérdéseire: