Konfigurowanie sposobu wyrażania zgody przez użytkowników na aplikacje
W tym artykule dowiesz się, jak skonfigurować sposób, w jaki użytkownicy wyrażają zgodę na aplikacje i jak wyłączyć wszystkie przyszłe operacje zgody użytkownika na aplikacje.
Aby aplikacja mogła uzyskać dostęp do danych organizacji, użytkownik musi przyznać mu uprawnienia aplikacji. Różne uprawnienia zezwalają na różne poziomy dostępu. Domyślnie wszyscy użytkownicy mogą wyrażać zgodę na aplikacje w celu uzyskania uprawnień, które nie wymagają zgody administratora. Na przykład domyślnie użytkownik może wyrazić zgodę na zezwolenie aplikacji na dostęp do skrzynki pocztowej, ale nie może wyrazić zgody na dostęp aplikacji do odczytu i zapisu we wszystkich plikach w organizacji.
Aby zmniejszyć ryzyko złośliwych aplikacji próbujących skłonić użytkowników do udzielenia im dostępu do danych organizacji, zalecamy zezwolenie na zgodę użytkownika tylko dla aplikacji opublikowanych przez zweryfikowanego wydawcę.
Nuta
Aplikacje, które wymagają przypisania użytkowników do aplikacji, muszą mieć zgodę administratora, nawet jeśli zasady zgody użytkownika dla katalogu w przeciwnym razie zezwoliłyby użytkownikowi na wyrażanie zgody w imieniu siebie.
Warunki wstępne
Aby skonfigurować zgodę użytkownika, potrzebne są następujące elementy:
- Konto użytkownika. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Rola administratorów ról uprzywilejowanych.
Konfigurowanie ustawień zgody użytkownika
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby skonfigurować ustawienia zgody użytkownika za pośrednictwem centrum administracyjnego firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator ról uprzywilejowanych.
Przejdź do pozycji Identity>Applications Dla aplikacji>>dla przedsiębiorstw Zgoda i uprawnienia>Ustawienia zgody użytkownika.
W obszarze Zgoda użytkownika dla aplikacji wybierz ustawienie zgody, które chcesz skonfigurować dla wszystkich użytkowników.
Wybierz pozycję Zapisz , aby zapisać ustawienia.
Aby wybrać, które zasady zgody aplikacji określają zgodę użytkownika dla aplikacji, możesz użyć modułu Microsoft Graph PowerShell . Polecenia cmdlet używane tutaj znajdują się w module Microsoft.Graph.Identity.SignIns .
Nawiązywanie połączenia z programem Microsoft Graph PowerShell
Połącz się z programem Microsoft Graph PowerShell przy użyciu wymaganych uprawnień o najniższych uprawnieniach. Aby odczytać bieżące ustawienia zgody użytkownika, użyj opcji Policy.Read.All. Aby odczytywać i zmieniać ustawienia zgody użytkownika, użyj pozycji Policy.ReadWrite.Authorization. Musisz zalogować się jako administrator ról uprzywilejowanych.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Wyłączanie zgody użytkownika
Aby wyłączyć zgodę użytkownika, upewnij się, że zasady zgody (PermissionGrantPoliciesAssigned) zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady, jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Zezwalaj użytkownikowi na wyrażanie zgody na zasady zgody aplikacji przy użyciu programu PowerShell
Aby zezwolić na zgodę użytkownika, wybierz zasady zgody aplikacji, które powinny zarządzać autoryzacją użytkowników w celu udzielenia zgody na aplikacje. Upewnij się, że zasady zgody () zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady,PermissionGrantPoliciesAssigned jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Zastąp {consent-policy-id} element identyfikatorem zasad, które chcesz zastosować. Możesz wybrać niestandardowe zasady zgody aplikacji utworzone lub wybrać następujące wbudowane zasady:
| ID | Opis |
|---|---|
| microsoft-user-default-low | Zezwalaj na zgodę użytkownika dla aplikacji zweryfikowanych wydawców dla wybranych uprawnień Zezwalaj na ograniczoną zgodę użytkownika tylko dla aplikacji ze zweryfikowanych wydawców i aplikacji zarejestrowanych w dzierżawie oraz tylko dla uprawnień sklasyfikowanych jako niskie skutki. (Pamiętaj, aby sklasyfikować uprawnienia , aby wybrać uprawnienia, które użytkownicy mogą wyrazić zgodę). |
| microsoft-user-default-legacy | Zezwalaj na zgodę użytkownika dla aplikacji Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji |
Aby na przykład włączyć zgodę użytkownika podlegają wbudowanym zasadom microsoft-user-default-low, uruchom następujące polecenia:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Użyj Eksploratora programu Graph, aby wybrać, które zasady zgody aplikacji określają zgodę użytkownika dla aplikacji. Musisz zalogować się jako administrator ról uprzywilejowanych.
Aby wyłączyć zgodę użytkownika, upewnij się, że zasady zgody (PermissionGrantPoliciesAssigned) zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady, jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Zezwalaj użytkownikowi na wyrażanie zgody na zasady zgody aplikacji przy użyciu programu Microsoft Graph
Aby zezwolić na zgodę użytkownika, wybierz zasady zgody aplikacji, które powinny zarządzać autoryzacją użytkowników w celu udzielenia zgody na aplikacje. Upewnij się, że zasady zgody () zawierają inne bieżące ManagePermissionGrantsForOwnedResource.* zasady,PermissionGrantPoliciesAssigned jeśli istnieją podczas aktualizowania kolekcji. Dzięki temu można zachować bieżącą konfigurację ustawień zgody użytkownika i innych ustawień zgody na zasoby.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Zastąp {consent-policy-id} element identyfikatorem zasad, które chcesz zastosować. Możesz wybrać niestandardowe zasady zgody aplikacji utworzone lub wybrać następujące wbudowane zasady:
| ID | Opis |
|---|---|
| microsoft-user-default-low | Zezwalaj na zgodę użytkownika dla aplikacji zweryfikowanych wydawców dla wybranych uprawnień Zezwalaj na ograniczoną zgodę użytkownika tylko dla aplikacji ze zweryfikowanych wydawców i aplikacji zarejestrowanych w dzierżawie oraz tylko dla uprawnień sklasyfikowanych jako niskie skutki. (Pamiętaj, aby sklasyfikować uprawnienia , aby wybrać uprawnienia, które użytkownicy mogą wyrazić zgodę). |
| microsoft-user-default-legacy | Zezwalaj na zgodę użytkownika dla aplikacji Ta opcja umożliwia wszystkim użytkownikom wyrażanie zgody na wszelkie uprawnienia, które nie wymagają zgody administratora dla żadnej aplikacji |
Aby na przykład włączyć zgodę użytkownika podlega wbudowanym zasadom microsoft-user-default-low, użyj następującego polecenia PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Napiwek
Aby umożliwić użytkownikom żądanie przeglądu i zatwierdzenia aplikacji przez administratora, do którego użytkownik nie może wyrazić zgody, włącz przepływ pracy zgody administratora. Na przykład można to zrobić, gdy zgoda użytkownika została wyłączona lub gdy aplikacja żąda uprawnień, które użytkownik nie może udzielić.