Delen via

Configureren hoe gebruikers toestemming geven voor toepassingen

In dit artikel leert u hoe u instellingen voor gebruikerstoestemming configureert in Microsoft Entra ID om te bepalen wanneer en hoe gebruikers machtigingen verlenen aan toepassingen. Deze richtlijnen helpen IT-beheerders beveiligingsrisico's te verminderen door gebruikerstoestemming te beperken of uit te schakelen.

Voordat een toepassing toegang kan krijgen tot de gegevens van uw organisatie, moet een gebruiker de toepassing hiervoor machtigingen verlenen. Verschillende machtigingen hebben verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen toestemming van de beheerder is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn of haar postvak, maar kan geen toestemming geven om een app vrije toegang te geven om naar alle bestanden in uw organisatie te lezen en schrijven.

Om het risico te beperken dat kwaadwillende toepassingen proberen gebruikers te misleiden om hen toegang te geven tot de gegevens van uw organisatie, raden we u aan om gebruikerstoestemming alleen toe te staan voor toepassingen die zijn gepubliceerd door een geverifieerde uitgever.

Notitie

Toepassingen waarvoor gebruikers moeten worden toegewezen aan de toepassing, moeten toestemming hebben van een beheerder, zelfs als het beleid voor gebruikerstoestemming voor uw directory anders toestaat dat een gebruiker namens zichzelf toestemming geeft.

Vereisten

Als u gebruikerstoestemming wilt configureren, hebt u het volgende nodig:

U kunt instellingen voor gebruikerstoestemming configureren in Microsoft Entra ID met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API. De instellingen die u configureert, zijn van toepassing op alle gebruikers in uw organisatie.

Gebruikerstoestemmingsinstellingen configureren via het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Globalbeheerder.

  2. Navigeer naar Identiteit>Toepassingen>Bedrijfstoepassingen>Toestemming en machtigingen>Instellingen voor gebruikerstoestemming.

  3. Selecteer onder Gebruikerstoestemming voor toepassingen welke toestemmingsinstelling u wilt configureren voor alle gebruikers.

  4. Selecteer Opslaan om uw instellingen op te slaan.

Schermopname van het deelvenster 'Instellingen voor gebruikerstoestemming'.

Meer informatie over autorisatie- en machtigingsbeleid in Microsoft Graph PowerShell

Als u instellingen voor gebruikerstoestemming programmatisch wilt configureren met Behulp van Microsoft Graph PowerShell, is het belangrijk om inzicht te krijgen in het onderscheid tussen het autorisatiebeleid voor de hele tenant en het afzonderlijke machtigingsbeleid. nl-NL: De authorizationPolicy, opgehaald met Update-MgPolicyAuthorizationPolicy regelt globale instellingen, zoals of gebruikers kunnen toestaan om toestemming te geven voor apps en welk machtigingsbeleid wordt toegewezen aan de standaardgebruikersrol. U kunt bijvoorbeeld gebruikerstoestemming uitschakelen terwijl ontwikkelaars nog steeds machtigingen kunnen beheren voor de apps waarvan ze eigenaar zijn door ze alleen ManagePermissionGrantsForOwnedResource.DeveloperConsent toe te wijzen in de permissionGrantPoliciesAssigned verzameling.

Aan de andere kant bevat het endpoint permissionGrantPolicies uw huidige beleid voor het verlenen van machtigingen. Deze beleidsregels bepalen welke machtigingen kunnen worden verleend aan toepassingen en onder welke omstandigheden. Elk beleid bevat bepaalde voorwaarden, maar 'sluit' andere uit. Wanneer een gebruiker probeert toestemming te geven voor een toepassing, controleert het systeem het machtigingsbeleid om te zien of een van deze beleidsregels van toepassing is op de aanvraag van de gebruiker. Met het beleid voor laag risico kunnen gebruikers bijvoorbeeld toestemming geven voor deze machtigingen die zijn geconfigureerd als 'laag risico'. Het omvat dit beleid met een laag risico (als een GUID). Als een gebruiker in een ander scenario probeert toestemming te geven in een context die overeenkomt met het beleid AdminOnly, kan deze geen toestemming geven.

Notitie

Voordat u toestemmingsinstellingen bijwerkt met een Update-MgPolicyPermissionGrantPolicy opdracht, moet u altijd de huidige authorizationPolicy ophalen om te bepalen welke machtigingsbeleidsregels al zijn toegewezen. Dit zorgt ervoor dat u de benodigde machtigingen behoudt, zoals machtigingen waarmee ontwikkelaars toestemming kunnen beheren voor apps waarvan ze eigenaar zijn, en voorkomen dat bestaande functionaliteit onbedoeld wordt verwijderd.

Als u wilt kiezen welk app-toestemmingsbeleid gebruikerstoestemming voor toepassingen bepaalt, gebruikt u de Microsoft Graph PowerShell-module . De cmdlets die hier worden gebruikt, zijn opgenomen in de module Microsoft.Graph.Identity.SignIns .

Maak verbinding met Microsoft Graph PowerShell met behulp van de machtiging voor minimale bevoegdheden die nodig is. Gebruik Policy.Read.All voor het lezen van de huidige instellingen voor gebruikerstoestemming. Gebruik Policy.ReadWrite.Authorization voor het lezen en wijzigen van de instellingen voor gebruikerstoestemming. U moet zich aanmelden als beheerder van bevoorrechte rollen.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Als u gebruikerstoestemming wilt uitschakelen, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Als u gebruikerstoestemming wilt toestaan, kiest u welk app-toestemmingsbeleid de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Vervang {consent-policy-id} door de id van het beleid dat u wilt toepassen. U kunt een aangepast app-toestemmingsbeleid kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Beschrijving
microsoft-gebruiker-standaard-laag Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers voor geselecteerde machtigingen
Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Vergeet niet om machtigingen te classificeren om te selecteren welke machtigingen gebruikers toestemming mogen geven.)
microsoft-gebruiker-standaard-erfenis Gebruikerstoestemming toestaan voor apps
Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke app

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen die onderhevig is aan het ingebouwde beleid microsoft-user-default-low, voert u de volgende opdrachten uit:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Meer informatie over autorisatie- en machtigingsbeleid in Microsoft Graph

Als u instellingen voor gebruikerstoestemming programmatisch wilt configureren met Behulp van Microsoft Graph, is het belangrijk om inzicht te krijgen in het onderscheid tussen het autorisatiebeleid voor de hele tenant en het afzonderlijke machtigingsbeleid. De authorizationPolicy (opgehaald met behulp) GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicybepaalt globale instellingen, zoals of gebruikers toestemming kunnen geven voor apps en welke machtigingsbeleidsregels worden toegewezen aan de standaardgebruikersrol. U kunt bijvoorbeeld gebruikerstoestemming uitschakelen terwijl ontwikkelaars nog steeds machtigingen kunnen beheren voor de apps waarvan ze eigenaar zijn door ze alleen ManagePermissionGrantsForOwnedResource.DeveloperConsent toe te wijzen in de permissionGrantPoliciesAssigned verzameling.

Aan de andere kant geeft het permissionGrantPolicies eindpunt (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) uw huidige machtigingsbeleid weer. Deze beleidsregels bepalen welke machtigingen kunnen worden verleend aan toepassingen en onder welke omstandigheden. Elk beleid bevat bepaalde voorwaarden, maar 'sluit' andere uit. Wanneer een gebruiker probeert toestemming te geven voor een toepassing, controleert het systeem het machtigingsbeleid om te zien of een van deze beleidsregels van toepassing is op de aanvraag van de gebruiker. Met het beleid voor laag risico kunnen gebruikers bijvoorbeeld toestemming geven voor deze machtigingen die zijn geconfigureerd als 'laag risico'. Het omvat dit beleid met een laag risico (als een GUID). Als een gebruiker in een ander scenario probeert toestemming te geven in een context die overeenkomt met het beleid AdminOnly, kan deze geen toestemming geven.

Notitie

Voordat u toestemmingsinstellingen bijwerkt met een PATCH aanvraag, moet u altijd de huidige authorizationPolicy ophalen om te bepalen welke machtigingsbeleidsregels al zijn toegewezen. Dit zorgt ervoor dat u de benodigde machtigingen behoudt, zoals machtigingen waarmee ontwikkelaars toestemming kunnen beheren voor apps waarvan ze eigenaar zijn, en voorkomen dat bestaande functionaliteit onbedoeld wordt verwijderd.

Gebruik Graph Explorer om te kiezen welk app-toestemmingsbeleid gebruikerstoestemming bepaalt voor toepassingen. U moet zich aanmelden als beheerder van bevoorrechte rollen.

Als u gebruikerstoestemming wilt uitschakelen, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Als u gebruikerstoestemming wilt toestaan, kiest u welk app-toestemmingsbeleid de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Vervang {consent-policy-id} door de id van het beleid dat u wilt toepassen. U kunt een aangepast app-toestemmingsbeleid kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Beschrijving
microsoft-gebruiker-standaard-laag Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers voor geselecteerde machtigingen
Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Vergeet niet om machtigingen te classificeren om te selecteren welke machtigingen gebruikers toestemming mogen geven.)
microsoft-gebruiker-standaard-erfenis Gebruikerstoestemming toestaan voor apps
Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke app

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-user-default-low, gebruikt u de volgende PATCH-opdracht:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Updates voor instellingen voor gebruikerstoestemming zijn alleen van invloed op toekomstige toestemmingsbewerkingen voor toepassingen. Bestaande toestemmingstoekenningen blijven ongewijzigd en gebruikers blijven toegang hebben op basis van de eerder verleende machtigingen. Zie hoe u bestaande toestemmingstoekenningen kunt intrekken bij De machtigingen controleren die zijn verleend aan bedrijfstoepassingen.

Aanbeveling

Schakel de werkstroom voor beheerderstoestemming in om gebruikers toestemming te geven voor een toepassing waarvoor de gebruiker geen toestemming mag geven. U kunt dit bijvoorbeeld doen wanneer gebruikerstoestemming is uitgeschakeld of wanneer een toepassing machtigingen aanvraagt die de gebruiker niet mag verlenen.

Volgende stappen