Configureren hoe gebruikers toestemming geven voor toepassingen

In dit artikel leert u hoe u de manier configureert waarop gebruikers toestemming geven voor toepassingen en hoe u alle toekomstige bewerkingen voor gebruikerstoestemming voor toepassingen uitschakelt.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn of haar postvak, maar kan geen toestemming geven om een app vrije toegang te geven om naar alle bestanden in uw organisatie te lezen en schrijven.

Als u het risico wilt beperken dat kwaadwillende toepassingen gebruikers misleiden bij het verlenen van toegang tot de gegevens van uw organisatie, raden we u aan alleen gebruikerstoestemming toe te staan voor toepassingen die zijn gepubliceerd door een geverifieerde uitgever.

Vereisten

Als u gebruikerstoestemming wilt configureren, hebt u het volgende nodig:

  • Een gebruikersaccount in. Als u dat nog niet hebt, kunt u gratis een account maken.
  • De rol globale beheerder of bevoegde beheerder.

Instellingen voor gebruikerstoestemming configureren via Azure Portal:

  1. Meld u aan bij Azure Portal als globale beheerder.

  2. Selecteer Azure Active Directory>Enterprise-toepassingen>Toestemming en machtigingen>Instellingen voor gebruikerstoestemming.

  3. Selecteer bij Gebruikerstoestemming voor toepassingen welke toestemmingsinstelling u wilt configureren voor alle gebruikers.

  4. Selecteer Opslaan om uw instellingen op te slaan.

Schermopname van het deelvenster Instellingen voor gebruikerstoestemming.

Als u wilt kiezen welk app-toestemmingsbeleid van toepassing is op gebruikerstoestemming voor toepassingen, kunt u de Microsoft Graph PowerShell-module gebruiken. De cmdlets die hier worden gebruikt, zijn opgenomen in de Microsoft. Graph.Identity.SignIns-module.

Verbinding maken met Microsoft Graph PowerShell

Maak verbinding met Microsoft Graph PowerShell met behulp van de machtiging met minimale bevoegdheden die nodig zijn. Gebruik Policy.Read.All voor het lezen van de huidige instellingen voor gebruikerstoestemming. Gebruik Policy.ReadWrite.Authorization om de instellingen voor gebruikerstoestemming te lezen en te wijzigen.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Als u gebruikerstoestemming wilt uitschakelen, stelt u het toestemmingsbeleid in waarmee gebruikerstoestemming wordt toegepast op Leeg:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Als u gebruikerstoestemming wilt toestaan, kiest u welk toestemmingsbeleid voor apps de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Vervang {consent-policy-id} door de id van het beleid dat u wilt toepassen. U kunt een aangepast toestemmingsbeleid voor apps kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Description
microsoft-user-default-low Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers, voor geselecteerde machtigingen Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Classificeer machtigingen om te selecteren voor welke machtigingen gebruikers toestemming mogen geven.)
microsoft-user-default-legacy Gebruikerstoestemming toestaan voor apps Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke toepassing

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen die onderhevig is aan het ingebouwde beleid microsoft-user-default-low, voert u de volgende opdrachten uit:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Gebruik Graph Explorer om te kiezen welk app-toestemmingsbeleid van toepassing is op gebruikerstoestemming voor toepassingen.

Als u gebruikerstoestemming wilt uitschakelen, stelt u het toestemmingsbeleid in waarmee gebruikerstoestemming wordt toegepast op Leeg:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Als u gebruikerstoestemming wilt toestaan, kiest u welk toestemmingsbeleid voor apps de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": ["ManagePermissionGrantsForSelf.microsoft-user-default-legacy"]
   }
}

Vervang {consent-policy-id} door de id van het beleid dat u wilt toepassen. U kunt een aangepast toestemmingsbeleid voor apps kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Description
microsoft-user-default-low Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers, voor geselecteerde machtigingen Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Classificeer machtigingen om te selecteren voor welke machtigingen gebruikers toestemming mogen geven.)
microsoft-user-default-legacy Gebruikerstoestemming toestaan voor apps Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke toepassing

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen op basis van het ingebouwde beleid microsoft-user-default-low, gebruikt u de volgende PATCH-opdracht:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low"
        ]
    }
}

Tip

Schakel de werkstroom voor beheerderstoestemming in om gebruikers toe te staan de beoordeling en goedkeuring van een beheerder aan te vragen voor een toepassing waarvoor de gebruiker geen toestemming mag geven. U kunt dit bijvoorbeeld doen wanneer gebruikerstoestemming is uitgeschakeld of wanneer een toepassing machtigingen aanvraagt die de gebruiker niet mag verlenen.

Volgende stappen