Alkalmazás-hozzájárulási szabályzatok kezelése
Az alkalmazás-hozzájárulási szabályzatokkal kezelheti azokat az engedélyeket, amelyekkel az alkalmazások hozzáférhetnek a szervezet adataihoz. Ezek segítségével szabályozható, hogy a felhasználók milyen alkalmazásokhoz járulhatnak hozzá, és hogy az alkalmazások megfeleljenek bizonyos feltételeknek, mielőtt hozzáférnének az adatokhoz. Ezek a szabályzatok segítenek a szervezeteknek az adatok feletti ellenőrzés fenntartásában, és biztosítják, hogy csak megbízható alkalmazásokhoz biztosítsanak hozzáférést.
Ebből a cikkből megtudhatja, hogyan kezelheti a beépített és egyéni alkalmazás-hozzájárulási szabályzatokat annak érdekében, hogy szabályozhassa, mikor adható meg a hozzájárulás.
A Microsoft Graph és a Microsoft Graph PowerShell segítségével megtekintheti és kezelheti az alkalmazás-hozzájárulási szabályzatokat.
Az alkalmazás-hozzájárulási szabályzatok egy vagy több "belefoglalás" feltételkészletből és nulla vagy több "kizárási" feltételkészletből állnak. Ahhoz, hogy egy eseményt figyelembe lehessen venni egy alkalmazás-jóváhagyási szabályzatban, meg kell egyeznie legalább egy "belefoglalás" feltételkészlettel, és nem egyezhet meg egyetlen "kizárási" feltételkészlettel sem .
Minden feltételkészlet több feltételből áll. Ahhoz, hogy egy esemény megfeleljen egy feltételkészletnek, a feltételkészlet összes feltételének teljesülnie kell.
Az alkalmazás-hozzájárulási szabályzatok, amelyekben az azonosító a "microsoft"-val kezdődik, beépített szabályzatok. Ezen beépített szabályzatok némelyike a meglévő beépített címtárszerepkörökben használatos. Az alkalmazás-hozzájárulási szabályzat például azokat a feltételeket írja le, microsoft-application-admin amelyek mellett az alkalmazás-Rendszergazda istrator- és felhőalkalmazás-Rendszergazda istrator szerepkörök bérlőszintű rendszergazdai hozzájárulást adhatnak. A beépített szabályzatok egyéni címtárszerepkörökben és felhasználói hozzájárulási beállítások konfigurálására használhatók, de nem szerkeszthetők és nem törölhetők.
Előfeltételek
- Egy felhasználó vagy szolgáltatás az alábbi szerepkörök egyikével:
- Privileged Role Rendszergazda istrator directory role
- Egyéni címtárszerepkör az alkalmazás-hozzájárulási szabályzatok kezeléséhez szükséges engedélyekkel
- A Microsoft Graph alkalmazásszerepköre (alkalmazásengedély)
Policy.ReadWrite.PermissionGrantalkalmazásként vagy szolgáltatásként való csatlakozáskor
Ha alkalmazás-jóváhagyási szabályzatokat szeretne kezelni az alkalmazásokhoz a Microsoft Graph PowerShell használatával, csatlakozzon a Microsoft Graph PowerShellhez.
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"
Meglévő alkalmazás-hozzájárulási szabályzatok listázása
Először is érdemes megismerkednie a szervezet meglévő alkalmazás-hozzájárulási szabályzataival:
Az összes alkalmazás-hozzájárulási szabályzat listázása:
Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, DescriptionTekintse meg egy szabályzat "belefoglalás" feltételkészletét:
Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId "microsoft-application-admin" | flTekintse meg a "kizárás" feltételkészleteket:
Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId "microsoft-application-admin" | fl
Egyéni alkalmazás-hozzájárulási szabályzat létrehozása a PowerShell használatával
Kövesse az alábbi lépéseket egy egyéni alkalmazás-hozzájárulási szabályzat létrehozásához:
Hozzon létre egy új üres alkalmazás-hozzájárulási szabályzatot.
New-MgPolicyPermissionGrantPolicy ` -Id "my-custom-policy" ` -DisplayName "My first custom consent policy" ` -Description "This is a sample custom app consent policy."Adja hozzá a "include" feltételkészleteket.
# Include delegated permissions classified "low", for apps from verified publishers New-MgPolicyPermissionGrantPolicyInclude ` -PermissionGrantPolicyId "my-custom-policy" ` -PermissionType "delegated" ` -PermissionClassification "low" ` -ClientApplicationsFromVerifiedPublisherOnlyIsmételje meg ezt a lépést további "belefoglalás" feltételkészletek hozzáadásához.
Igény szerint adjon hozzá "kizárás" feltételkészleteket.
# Retrieve the service principal for the Azure Management API $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')" # Exclude delegated permissions for the Azure Management API New-MgPolicyPermissionGrantPolicyExclude ` -PermissionGrantPolicyId "my-custom-policy" ` -PermissionType "delegated" ` -ResourceApplication $azureApi.AppIdIsmételje meg ezt a lépést további "kizárási" feltételkészletek hozzáadásához.
Az alkalmazás-jóváhagyási szabályzat létrehozása után hozzá kell rendelnie egy egyéni szerepkörhöz a Microsoft Entra ID-ban. Ezután hozzá kell rendelnie a felhasználókat az egyéni szerepkörhöz, amely a létrehozott alkalmazás-jóváhagyási szabályzathoz van csatolva. Az alkalmazás-hozzájárulási szabályzat egyéni szerepkörhöz való hozzárendeléséről további információt az egyéni szerepkörök alkalmazás-hozzájárulási engedélyeivel kapcsolatban talál.
Egyéni alkalmazás-hozzájárulási szabályzat törlése a PowerShell használatával
Az alábbi parancsmag bemutatja, hogyan törölhet egyéni alkalmazás-hozzájárulási szabályzatokat.
Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-policy"
Az alkalmazás-hozzájárulási szabályzatok kezeléséhez jelentkezzen be a Graph Explorerbe az előfeltétel szakaszban felsorolt szerepkörök egyikével.
Hozzá kell járulnia az Policy.ReadWrite.PermissionGrant engedélyhez.
Meglévő alkalmazás-hozzájárulási szabályzatok listázása a Microsoft Graph használatával
Először is érdemes megismerkednie a szervezet meglévő alkalmazás-hozzájárulási szabályzataival:
Az összes alkalmazás-hozzájárulási szabályzat listázása:
GET /policies/permissionGrantPolicies?$select=id,displayName,descriptionTekintse meg egy szabályzat "belefoglalás" feltételkészletét:
GET /policies/permissionGrantPolicies/{ microsoft-application-admin }/includesTekintse meg a "kizárás" feltételkészleteket:
GET /policies/permissionGrantPolicies/{ microsoft-application-admin }/excludes
Egyéni alkalmazás-hozzájárulási szabályzat létrehozása a Microsoft Graph használatával
Kövesse az alábbi lépéseket egy egyéni alkalmazás-hozzájárulási szabályzat létrehozásához:
Hozzon létre egy új üres alkalmazás-hozzájárulási szabályzatot.
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies Content-Type: application/json { "id": "my-custom-policy", "displayName": "My first custom consent policy", "description": "This is a sample custom app consent policy" }Adja hozzá a "include" feltételkészleteket.
"Alacsony" besorolású delegált engedélyek belefoglalása ellenőrzött közzétevőktől származó alkalmazásokhoz
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-policy }/includes Content-Type: application/json { "permissionType": "delegated", "PermissionClassification": "low", "clientApplicationsFromVerifiedPublisherOnly": true }Ismételje meg ezt a lépést további "belefoglalás" feltételkészletek hozzáadásához.
Igény szerint adjon hozzá "kizárás" feltételkészleteket. Az Azure Management API delegált engedélyeinek kizárása (appId 00001111-aaaa-2222-bbbb-3333cccc4444)
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/my-custom-policy /excludes Content-Type: application/json { "permissionType": "delegated", "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 " }Ismételje meg ezt a lépést további "kizárási" feltételkészletek hozzáadásához.
Az alkalmazás-jóváhagyási szabályzat létrehozása után hozzá kell rendelnie egy egyéni szerepkörhöz a Microsoft Entra ID-ban. Ezután hozzá kell rendelnie a felhasználókat az egyéni szerepkörhöz, amely a létrehozott alkalmazás-jóváhagyási szabályzathoz van csatolva. Az alkalmazás-hozzájárulási szabályzat egyéni szerepkörhöz való hozzárendeléséről további információt az egyéni szerepkörök alkalmazás-hozzájárulási engedélyeivel kapcsolatban talál.
Egyéni alkalmazás-hozzájárulási szabályzat törlése Microsoft Graph
Az alábbiakban bemutatjuk, hogyan törölhet egyéni alkalmazás-hozzájárulási szabályzatokat.
DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
Figyelmeztetés
A törölt alkalmazás-hozzájárulási szabályzatok nem állíthatók vissza. Ha véletlenül töröl egy egyéni alkalmazás-hozzájárulási szabályzatot, újra létre kell hoznia a szabályzatot.
Támogatott feltételek
Az alábbi táblázat az alkalmazás-hozzájárulási szabályzatok támogatott feltételeinek listáját tartalmazza.
| Feltétel | Leírás |
|---|---|
| Engedélyosztályosítás | A megadott engedély engedélybesorolása vagy az "összes" az engedélybesoroláshoz (beleértve a nem besorolt engedélyeket is). Az alapértelmezett érték az "összes". |
| PermissionType | A megadott engedély engedélytípusa. Az alkalmazásengedélyekhez (például alkalmazásszerepkörökhöz) vagy a delegált engedélyekhez használja az "alkalmazás" kifejezést. Megjegyzés: A "delegatedUserConsentable" érték olyan delegált engedélyeket jelöl, amelyeket az API-közzétevő nem konfigurált rendszergazdai hozzájárulás megkövetelésére. Ez az érték használható a beépített engedély-engedélyezési szabályzatokban, de egyéni engedély-engedélyezési szabályzatokban nem használható. Szükséges. |
| ResourceApplication | Annak az erőforrásalkalmazásnak az AppId azonosítója (például az API), amelyhez engedélyt adnak, vagy "bármely" az erőforrásalkalmazással vagy API-val való egyeztetéshez. Az alapértelmezett érték "bármely". |
| Engedélyek | Az adott engedélyekhez tartozó engedélyazonosítók listája, vagy egy olyan lista, amelynek egyetlen "all" értéke megegyezik bármilyen engedéllyel. Az alapértelmezett érték az "összes" érték. - A delegált engedélyazonosítók az API ServicePrincipal objektumának OAuth2Permissions tulajdonságában találhatók. - Az alkalmazásengedély-azonosítók az API ServicePrincipal objektumának AppRoles tulajdonságában találhatók. |
| ClientApplicationIds | Az ügyfélalkalmazások AppId-értékeinek listája, vagy egy olyan lista, amely egyetlen "all" értékkel rendelkezik az ügyfélalkalmazások egyezéséhez. Az alapértelmezett érték az "összes" érték. |
| ClientApplicationTenantIds | Azon Microsoft Entra-bérlőazonosítók listája, amelyekben az ügyfélalkalmazás regisztrálva van, vagy egy lista egyetlen "all" értékkel, amely megfelel a bármely bérlőben regisztrált ügyfélalkalmazásoknak. Az alapértelmezett érték az "összes" érték. |
| ClientApplicationPublisherIds | A Microsoft Partner Network (MPN) azonosítóinak listája az ügyfélalkalmazás igazolt közzétevői számára, vagy egy olyan lista, amely egyetlen "all" értékkel rendelkezik, hogy megfeleljen a közzétevők ügyfélalkalmazásainak. Az alapértelmezett érték az "összes" érték. |
| ClientApplicationsFromVerifiedPublisherOnly | Állítsa ezt a kapcsolót úgy, hogy csak ellenőrzött közzétevőkkel rendelkező ügyfélalkalmazások esetében egyezzen. Tiltsa le ezt a kapcsolót (-ClientApplicationsFromVerifiedPublisherOnly:$false) bármely ügyfélalkalmazásban való egyeztetéshez, még akkor is, ha nem rendelkezik ellenőrzött közzétevővel. Az alapértelmezett szint a $false. |
| scopeType | Az erőforrás-hatókör típusa, amelyre az előszűrés vonatkozik. Lehetséges értékek: groupcsoportokhoz és csoportokhoz, chat csevegésekhez vagy tenant bérlői szintű hozzáféréshez. Szükséges. |
| sensitivityLabels | A hatókörtípusra vonatkozó bizalmassági címkék, amelyek nincsenek előre alkalmazva. Lehetővé teszi a bizalmas szervezeti adatok védelmét. Tudnivalók a bizalmassági címkékről. Megjegyzés: A csevegési erőforrás még nem támogatja a bizalmasságicímkék használatát. |
Következő lépések
Ha segítségre van szüksége, vagy választ szeretne kapni a kérdéseire: