Stapsgewijze toestemming op basis van risico's configureren met Behulp van PowerShell

In dit artikel leert u hoe u stapsgewijze toestemming op basis van risico's configureert in Microsoft Entra ID. Met stapsgewijze toestemming op basis van risico's kunt u de blootstelling van gebruikers aan schadelijke apps verminderen die illegale toestemmingsaanvragen indienen.

Toestemmingsaanvragen voor nieuw geregistreerde multitenant-apps die niet door de uitgever zijn geverifieerd en waarvoor niet-basismachtigingen zijn vereist, worden bijvoorbeeld als riskant beschouwd. Als er een riskante gebruikerstoestemmingsaanvraag wordt gedetecteerd, is voor de aanvraag een 'step-up' vereist voor beheerderstoestemming. Deze stapfunctie is standaard ingeschakeld, maar resulteert in een gedragswijziging alleen wanneer toestemming van de gebruiker is ingeschakeld.

Wanneer een riskante toestemmingsaanvraag wordt gedetecteerd, geeft de toestemmingsprompt een bericht weer dat aangeeft dat goedkeuring van de beheerder nodig is. Als de werkstroom voor de aanvraag voor beheerderstoestemming is ingeschakeld, kan de gebruiker de aanvraag rechtstreeks vanuit de toestemmingsprompt verzenden naar een beheerder. Als de werkstroom voor beheerderstoestemmingsaanvragen niet is ingeschakeld, wordt het volgende bericht weergegeven:

AADSTS90094: <clientAppDisplayName> heeft toestemming nodig voor toegang tot resources in uw organisatie die alleen een beheerder kan verlenen. Vraag een beheerder om toestemming te verlenen aan deze app voordat u deze kunt gebruiken.

In dit geval wordt een controlegebeurtenis ook geregistreerd met een categorie 'ApplicationManagement', een activiteitstype 'Toestemming voor toepassing' en een statusreden van 'Riskante toepassing gedetecteerd'.

Vereisten

Als u stapsgewijze toestemming op basis van risico's wilt configureren, hebt u het volgende nodig:

• Een gebruikersaccount in. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een bevoorrechte rol Beheer istrator.

Staptoestemming op basis van risico's uitschakelen of opnieuw inschakelen

U kunt de bètamodule van Microsoft Graph PowerShell gebruiken om de stap-up voor beheerderstoestemming uit te schakelen die is vereist in gevallen waarin een risico wordt gedetecteerd of om deze in te schakelen als deze eerder is uitgeschakeld.

Belangrijk

Zorg ervoor dat u de microsoft Graph PowerShell Beta-cmdletsmodule gebruikt.

1. Voer de volgende opdracht uit:

   Install-Module Microsoft.Graph.Beta
   

2. Verbinding maken met Microsoft Graph PowerShell:

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Haal de huidige waarde op voor de mapinstellingen voor Beleidsinstellingen voor toestemming in uw tenant. Hiervoor moet worden gecontroleerd of de mapinstellingen voor deze functie zijn gemaakt. Als ze nog niet zijn gemaakt, gebruikt u de waarden uit de bijbehorende sjabloon voor mapinstellingen.

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   if (-not $settings) {
       $params = @{
           TemplateId = $consentSettingsTemplateId
           Values = @(
               @{ 
                   Name = "BlockUserConsentForRiskyApps"
                   Value = "True"
               }
               @{ 
                   Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                   Value = "<groupId>"
               }
               @{ 
                   Name = "EnableAdminConsentRequests"
                   Value = "True"
               }
               @{ 
                   Name = "EnableGroupSpecificConsent"
                   Value = "True"
               }
           )
       }
       $settings = New-MgBetaDirectorySetting -BodyParameter $params
   }
   $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
   

4. Controleer de waarde:

   $riskBasedConsentEnabledValue
   

   Inzicht in de waarde van de instellingen:

   Instelling	Type	Description
   BlockUserConsentForRiskyApps	Booleaanse waarde	Een vlag die aangeeft of gebruikerstoestemming wordt geblokkeerd wanneer een riskante aanvraag wordt gedetecteerd.

5. Als u de waarde wilt BlockUserConsentForRiskyAppswijzigen, gebruikt u de cmdlet Update-MgBetaDirectorySetting .

   $params = @{
       TemplateId = $consentSettingsTemplateId
       Values = @(
           @{ 
               Name = "BlockUserConsentForRiskyApps"
               Value = "False"
           }
           @{ 
               Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
               Value = "<groupId>"
           }
           @{ 
               Name = "EnableAdminConsentRequests"
               Value = "True"
           }
           @{ 
               Name = "EnableGroupSpecificConsent"
               Value = "True"
           }
       )
   }
   Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params
   

Volgende stappen

• App-toestemmingsbeleid beheren
• Werkstroom voor beheerderstoestemming configureren