Mengonfigurasi cara pengguna menyetujui aplikasi

Di artikel ini, Anda akan belajar cara mengonfigurasi persetujuan pengguna untuk aplikasi dan cara menonaktifkan semua operasi persetujuan tersebut di masa mendatang.

Sebelum aplikasi dapat mengakses data organisasi Anda, pengguna harus memberikan izin kepada aplikasi untuk melakukannya. Izin yang berbeda memungkinkan tingkat akses yang berbeda. Secara default, semua pengguna diizinkan untuk menyetujui aplikasi untuk izin yang tidak memerlukan persetujuan administrator. Misalnya, secara default, pengguna dapat menyetujui untuk mengizinkan aplikasi mengakses kotak surat mereka, tetapi tidak dapat menyetujui untuk mengizinkan aplikasi akses tak terbatas untuk membaca dan menulis ke semua file di organisasi Anda.

Untuk mengurangi risiko aplikasi berbahaya yang mencoba menipu pengguna dengan memberi mereka akses ke data organisasi Anda, sebaiknya Anda hanya mengizinkan persetujuan pengguna untuk aplikasi yang telah diterbitkan oleh penerbit terverifikasi.

Prasyarat

Untuk mengonfigurasi persetujuan pengguna, Anda memerlukan:

• Akun pengguna. Jika Anda belum memilikinya, Anda dapat membuat akun secara gratis.
• Peran Administrator Global.

Mengonfigurasi pengaturan persetujuan pengguna

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk mengonfigurasi pengaturan persetujuan pengguna melalui pusat admin Microsoft Entra:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Telusuri ke Persetujuan aplikasi>Identity>Applications>Enterprise dan izin>Pengaturan persetujuan pengguna.

3. Pada Persetujuan pengguna untuk aplikasi, pilih pengaturan persetujuan mana yang ingin Anda konfigurasikan untuk semua pengguna.

4. Pilih Simpan untuk menyimpan pengaturan Anda.

Untuk memilih kebijakan persetujuan aplikasi mana yang mengatur persetujuan pengguna untuk aplikasi, Anda dapat menggunakan modul Microsoft Graph PowerShell . Cmdlet yang digunakan di sini disertakan dalam modul Microsoft.Graph.Identity.SignIns .

Koneksi ke Microsoft Graph PowerShell

Koneksi ke Microsoft Graph PowerShell menggunakan izin hak istimewa paling sedikit yang diperlukan. Untuk membaca pengaturan persetujuan pengguna saat ini, gunakan Policy.Read.All. Untuk membaca dan mengubah pengaturan persetujuan pengguna, gunakan Policy.ReadWrite.Authorization. Anda perlu masuk sebagai Administrator Global.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Nonaktifkan persetujuan pengguna

Untuk menonaktifkan persetujuan pengguna, pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Mengizinkan persetujuan pengguna tunduk pada kebijakan persetujuan aplikasi menggunakan PowerShell

Untuk mengizinkan persetujuan pengguna, pilih kebijakan persetujuan aplikasi mana yang harus mengatur otorisasi pengguna untuk memberikan persetujuan kepada aplikasi. Pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Ganti {consent-policy-id} dengan ID kebijakan yang ingin Anda terapkan. Anda dapat memilih kebijakan persetujuan aplikasi kustom yang telah dibuat, atau Anda dapat memilih kebijakan bawaan berikut:

ID	Deskripsi
microsoft-user-default-low	Mengizinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih Izinkan persetujuan pengguna terbatas hanya untuk aplikasi dari penerbit terverifikasi dan aplikasi yang terdaftar di penyewa Anda, dan hanya untuk izin yang Anda klasifikasikan sebagai dampak rendah. (Ingatlah untuk mengklasifikasikan izin untuk memilih izin mana yang boleh disetujui pengguna.)
microsoft-user-default-legacy	Mengizinkan persetujuan pengguna untuk aplikasi Opsi ini memungkinkan semua pengguna untuk menyetujui semua izin yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun

Sebagai contoh, untuk mengaktifkan persetujuan pengguna yang tunduk pada kebijakan bawaan microsoft-user-default-low, jalankan perintah berikut:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Gunakan Graph Explorer untuk memilih kebijakan persetujuan aplikasi mana yang mengatur persetujuan pengguna untuk aplikasi. Anda perlu masuk sebagai Administrator Global.

Untuk menonaktifkan persetujuan pengguna, pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Mengizinkan persetujuan pengguna tunduk pada kebijakan persetujuan aplikasi menggunakan Microsoft Graph

Untuk mengizinkan persetujuan pengguna, pilih kebijakan persetujuan aplikasi mana yang harus mengatur otorisasi pengguna untuk memberikan persetujuan kepada aplikasi. Pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Ganti {consent-policy-id} dengan ID kebijakan yang ingin Anda terapkan. Anda dapat memilih kebijakan persetujuan aplikasi kustom yang telah dibuat, atau Anda dapat memilih kebijakan bawaan berikut:

ID	Deskripsi
microsoft-user-default-low	Mengizinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih Izinkan persetujuan pengguna terbatas hanya untuk aplikasi dari penerbit terverifikasi dan aplikasi yang terdaftar di penyewa Anda, dan hanya untuk izin yang Anda klasifikasikan sebagai dampak rendah. (Ingatlah untuk mengklasifikasikan izin untuk memilih izin mana yang boleh disetujui pengguna.)
microsoft-user-default-legacy	Mengizinkan persetujuan pengguna untuk aplikasi Opsi ini memungkinkan semua pengguna untuk menyetujui semua izin yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun

Misalnya, untuk mengaktifkan persetujuan pengguna yang tunduk pada kebijakan microsoft-user-default-lowbawaan , gunakan perintah PATCH berikut:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Tip

Untuk memungkinkan pengguna meminta tinjauan dan persetujuan administrator terhadap aplikasi yang tidak boleh disetujui, aktifkan alur kerja persetujuan admin. Ini mungkin Anda lakukan ketika persetujuan pengguna telah dinonaktifkan atau ketika aplikasi meminta izin yang tidak boleh diberikan pengguna.

Langkah berikutnya

• Mengelola kebijakan persetujuan aplikasi
• Mengonfigurasi alur kerja persetujuan admin