Mengonfigurasi bagaimana pengguna menyetujui aplikasi
Dalam artikel ini, Anda akan mempelajari cara mengonfigurasi cara pengguna menyetujui aplikasi dan cara menonaktifkan semua operasi persetujuan pengguna di masa mendatang ke aplikasi.
Sebelum aplikasi dapat mengakses data organisasi Anda, pengguna harus memberikan izin aplikasi untuk melakukannya. Izin yang berbeda memungkinkan tingkat akses yang berbeda. Secara default, semua pengguna diizinkan untuk menyetujui aplikasi untuk izin yang tidak memerlukan persetujuan administrator. Misalnya, secara default, pengguna dapat menyetujui untuk mengizinkan aplikasi mengakses kotak surat mereka tetapi tidak dapat menyetujui untuk mengizinkan aplikasi akses yang tidak terkalahkan untuk membaca dan menulis ke semua file di organisasi Anda.
Untuk mengurangi risiko aplikasi berbahaya yang mencoba mengelabui pengguna agar memberi mereka akses ke data organisasi Anda, kami sarankan Anda mengizinkan persetujuan pengguna hanya untuk aplikasi yang telah diterbitkan oleh penerbit terverifikasi.
Nota
Aplikasi yang mengharuskan pengguna untuk ditetapkan ke aplikasi harus memiliki izin mereka yang disetujui oleh administrator, bahkan jika kebijakan persetujuan pengguna untuk direktori Anda akan memungkinkan pengguna untuk menyetujui atas nama diri mereka sendiri.
Prasyarat
Untuk mengonfigurasi persetujuan pengguna, Anda memerlukan:
- Akun pengguna. Jika Anda belum memilikinya, Anda dapat membuat akun secara gratis.
- Peran Administrator Peran Istimewa.
Mengonfigurasi pengaturan persetujuan pengguna
Ujung
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Untuk mengonfigurasi pengaturan persetujuan pengguna melalui pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Peran Istimewa.
Telusuri ke Persetujuan aplikasi>Identity>Applications>Enterprise dan izin>Pengaturan persetujuan pengguna.
Di bawah Persetujuan pengguna untuk aplikasi, pilih pengaturan persetujuan mana yang ingin Anda konfigurasi untuk semua pengguna.
Pilih Simpan untuk menyimpan pengaturan Anda.
Untuk memilih kebijakan persetujuan aplikasi mana yang mengatur persetujuan pengguna untuk aplikasi, Anda dapat menggunakan modul Microsoft Graph PowerShell . Cmdlet yang digunakan di sini disertakan dalam modul Microsoft.Graph.Identity.SignIns .
Menyambungkan ke Microsoft Graph PowerShell
Sambungkan ke Microsoft Graph PowerShell menggunakan izin hak istimewa paling sedikit yang diperlukan. Untuk membaca pengaturan persetujuan pengguna saat ini, gunakan Policy.Read.All. Untuk membaca dan mengubah pengaturan persetujuan pengguna, gunakan Policy.ReadWrite.Authorization. Anda perlu masuk sebagai Administrator Peran Istimewa.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Menonaktifkan persetujuan pengguna
Untuk menonaktifkan persetujuan pengguna, pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Mengizinkan persetujuan pengguna tunduk pada kebijakan persetujuan aplikasi menggunakan PowerShell
Untuk mengizinkan persetujuan pengguna, pilih kebijakan persetujuan aplikasi mana yang harus mengatur otorisasi pengguna untuk memberikan persetujuan kepada aplikasi. Pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Ganti dengan ID kebijakan yang ingin Anda terapkan {consent-policy-id} . Anda dapat memilih kebijakan persetujuan aplikasi kustom yang telah Anda buat, atau Anda dapat memilih dari kebijakan bawaan berikut:
| ID | Deskripsi |
|---|---|
| microsoft-user-default-low | Izinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih Izinkan persetujuan pengguna terbatas hanya untuk aplikasi dari penerbit dan aplikasi terverifikasi yang terdaftar di penyewa Anda, dan hanya untuk izin yang Anda klasifikasi sebagai dampak rendah. (Ingatlah untuk mengklasifikasikan izin untuk memilih izin mana yang diizinkan untuk disetujui pengguna.) |
| microsoft-user-default-legacy | Izinkan persetujuan pengguna untuk aplikasi Opsi ini memungkinkan semua pengguna untuk menyetujui izin apa pun yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun |
Misalnya, untuk mengaktifkan persetujuan pengguna yang tunduk pada kebijakan microsoft-user-default-lowbawaan , jalankan perintah berikut:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Gunakan Graph Explorer untuk memilih kebijakan persetujuan aplikasi mana yang mengatur persetujuan pengguna untuk aplikasi. Anda perlu masuk sebagai Administrator Peran Istimewa.
Untuk menonaktifkan persetujuan pengguna, pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Mengizinkan persetujuan pengguna tunduk pada kebijakan persetujuan aplikasi menggunakan Microsoft Graph
Untuk mengizinkan persetujuan pengguna, pilih kebijakan persetujuan aplikasi mana yang harus mengatur otorisasi pengguna untuk memberikan persetujuan kepada aplikasi. Pastikan bahwa kebijakan persetujuan (PermissionGrantPoliciesAssigned) menyertakan kebijakan lain saat ini ManagePermissionGrantsForOwnedResource.* jika ada saat memperbarui koleksi. Dengan cara ini, Anda dapat mempertahankan konfigurasi Anda saat ini untuk pengaturan persetujuan pengguna dan pengaturan persetujuan sumber daya lainnya.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Ganti dengan ID kebijakan yang ingin Anda terapkan {consent-policy-id} . Anda dapat memilih kebijakan persetujuan aplikasi kustom yang telah Anda buat, atau Anda dapat memilih dari kebijakan bawaan berikut:
| ID | Deskripsi |
|---|---|
| microsoft-user-default-low | Izinkan persetujuan pengguna untuk aplikasi dari penerbit terverifikasi, untuk izin yang dipilih Izinkan persetujuan pengguna terbatas hanya untuk aplikasi dari penerbit dan aplikasi terverifikasi yang terdaftar di penyewa Anda, dan hanya untuk izin yang Anda klasifikasi sebagai dampak rendah. (Ingatlah untuk mengklasifikasikan izin untuk memilih izin mana yang diizinkan untuk disetujui pengguna.) |
| microsoft-user-default-legacy | Izinkan persetujuan pengguna untuk aplikasi Opsi ini memungkinkan semua pengguna untuk menyetujui izin apa pun yang tidak memerlukan persetujuan admin, untuk aplikasi apa pun |
Misalnya, untuk mengaktifkan persetujuan pengguna yang tunduk pada kebijakan microsoft-user-default-lowbawaan , gunakan perintah PATCH berikut:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Ujung
Untuk mengizinkan pengguna meminta tinjauan administrator dan persetujuan aplikasi yang tidak diizinkan untuk disetujui pengguna, aktifkan alur kerja persetujuan admin. Misalnya, Anda dapat melakukan ini ketika persetujuan pengguna telah dinonaktifkan atau ketika aplikasi meminta izin yang tidak diizinkan untuk diberikan pengguna.