Delen via

Configureren hoe gebruikers toestemming geven voor toepassingen

  • Artikel

In dit artikel leert u hoe u de manier configureert waarop gebruikers toestemming geven voor toepassingen en hoe u alle toekomstige bewerkingen voor gebruikerstoestemming voor toepassingen uitschakelt.

Voordat een toepassing toegang heeft tot de gegevens van uw organisatie, moet een gebruiker de toepassingsmachtigingen verlenen om dit te doen. Verschillende machtigingen bieden verschillende toegangsniveaus. Standaard mogen alle gebruikers toestemming geven voor toepassingen voor machtigingen waarvoor geen beheerderstoestemming is vereist. Een gebruiker kan bijvoorbeeld standaard toestemming geven om een app toegang te geven tot zijn postvak, maar kan geen toestemming geven om een app ongehinderde toegang te geven tot lezen en schrijven naar alle bestanden in uw organisatie.

Om het risico te beperken dat kwaadwillende toepassingen proberen gebruikers te misleiden om hen toegang te geven tot de gegevens van uw organisatie, raden we u aan om gebruikerstoestemming alleen toe te staan voor toepassingen die zijn gepubliceerd door een geverifieerde uitgever.

Notitie

Toepassingen waarvoor gebruikers moeten worden toegewezen aan de toepassing, moeten toestemming hebben van een beheerder, zelfs als het beleid voor gebruikerstoestemming voor uw directory een gebruiker anders toestemming geeft namens zichzelf.

Voorwaarden

Als u gebruikerstoestemming wilt configureren, hebt u het volgende nodig:

  • Een gebruikersaccount. Als u nog geen account hebt, kunt u gratis een account maken.
  • De rol Beheerder van bevoorrechte rol.

Fooi

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

Gebruikerstoestemmingsinstellingen configureren via het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als beheerder van bevoorrechte rollen.

  2. Blader naar Instellingen voor toestemming en machtigingen>voor gebruikerstoestemming in bedrijfstoepassingen voor identiteitstoepassingen.>>>

  3. Selecteer onder Gebruikerstoestemming voor toepassingen welke toestemmingsinstelling u wilt configureren voor alle gebruikers.

  4. Selecteer Opslaan om uw instellingen op te slaan.

Schermopname van het deelvenster 'Instellingen voor gebruikerstoestemming'.

Als u wilt kiezen welk app-toestemmingsbeleid gebruikerstoestemming voor toepassingen bepaalt, kunt u de Microsoft Graph PowerShell-module gebruiken. De cmdlets die hier worden gebruikt, zijn opgenomen in de module Microsoft.Graph.Identity.SignIns .

Verbinding maken met Microsoft Graph PowerShell

Maak verbinding met Microsoft Graph PowerShell met behulp van de machtiging voor minimale bevoegdheden die nodig is. Gebruik Policy.Read.All voor het lezen van de huidige instellingen voor gebruikerstoestemming. Gebruik Policy.ReadWrite.Authorization voor het lezen en wijzigen van de instellingen voor gebruikerstoestemming. U moet zich aanmelden als beheerder van bevoorrechte rollen.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Als u gebruikerstoestemming wilt uitschakelen, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Als u gebruikerstoestemming wilt toestaan, kiest u welk app-toestemmingsbeleid de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Vervang door {consent-policy-id} de id van het beleid dat u wilt toepassen. U kunt een aangepast app-toestemmingsbeleid kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

LEGITIMATIEBEWIJS Beschrijving
microsoft-user-default-low Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers voor geselecteerde machtigingen
Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Vergeet niet om machtigingen te classificeren om te selecteren welke machtigingen gebruikers toestemming mogen geven.)
microsoft-user-default-legacy Gebruikerstoestemming toestaan voor apps
Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke toepassing

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-user-default-low, voert u de volgende opdrachten uit:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Gebruik Graph Explorer om te kiezen welk app-toestemmingsbeleid gebruikerstoestemming bepaalt voor toepassingen. U moet zich aanmelden als beheerder van bevoorrechte rollen.

Als u gebruikerstoestemming wilt uitschakelen, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Als u gebruikerstoestemming wilt toestaan, kiest u welk app-toestemmingsbeleid de autorisatie van gebruikers moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien aanwezig tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Vervang door {consent-policy-id} de id van het beleid dat u wilt toepassen. U kunt een aangepast app-toestemmingsbeleid kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

LEGITIMATIEBEWIJS Beschrijving
microsoft-user-default-low Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers voor geselecteerde machtigingen
Sta beperkte gebruikerstoestemming alleen toe voor apps van geverifieerde uitgevers en apps die zijn geregistreerd in uw tenant, en alleen voor machtigingen die u als weinig impact classificeert. (Vergeet niet om machtigingen te classificeren om te selecteren welke machtigingen gebruikers toestemming mogen geven.)
microsoft-user-default-legacy Gebruikerstoestemming toestaan voor apps
Met deze optie kunnen alle gebruikers toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist, voor elke toepassing

Als u bijvoorbeeld gebruikerstoestemming wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-user-default-low, gebruikt u de volgende PATCH-opdracht:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Fooi

Schakel de werkstroom voor beheerderstoestemming in om gebruikers toestemming te geven voor een toepassing waarvoor de gebruiker geen toestemming mag geven. U kunt dit bijvoorbeeld doen wanneer gebruikerstoestemming is uitgeschakeld of wanneer een toepassing machtigingen aanvraagt die de gebruiker niet mag verlenen.

Volgende stappen