Настройка способа согласия пользователей на использование приложений

В этой статье вы узнаете, как настроить способ согласия пользователей на приложения и как отключить все будущие операции согласия пользователей на приложения.

Прежде чем приложение сможет получить доступ к данным организации, пользователь должен предоставить ему разрешения. Различные разрешения позволяют использовать разные уровни доступа. По умолчанию всем пользователям разрешено предоставлять согласие на разрешения приложений, не требующие согласия администратора. Например, по умолчанию пользователь может предоставить приложению разрешение на доступ к своему почтовому ящику, но не может дать приложению неограниченный доступ на чтение и запись для всех файлов в организации.

Чтобы снизить риск того, что вредоносные приложения попытаются обманным путем заставить пользователей предоставить им доступ к данным организации, рекомендуется разрешить согласие пользователя только для приложений, опубликованных проверенным издателем.

Предварительные требования

Чтобы настроить согласие пользователя, вам потребуется следующее.

  • Учетная запись пользователя. Если ее нет, можно создать учетную запись бесплатно.
  • Роль глобального администратора или администратора привилегированных ролей.

Настройка параметров согласия пользователя на портале Azure:

  1. Войдите на портал Azure как глобальный администратор.

  2. Выберите Azure Active Directory>Корпоративные приложения>Согласия и разрешения>Параметры согласия пользователя.

  3. В разделе Согласие пользователя для приложений выберите параметр согласия, который вы хотите настроить для всех пользователей.

  4. Нажмите кнопку Save (Сохранить), чтобы сохранить настройки.

Снимок экрана: панель User consent settings (Параметры согласия пользователя).

Чтобы выбрать, какая политика согласия приложения управляет согласием пользователей для приложений, можно использовать модуль Microsoft Graph PowerShell . Командлеты, используемые здесь, включены в модуль Microsoft.Graph.Identity.SignIns .

Подключение к Microsoft Graph PowerShell

Подключитесь к Microsoft Graph PowerShell, используя необходимые разрешения с минимальными привилегиями. Для чтения текущих параметров согласия пользователя используйте Policy.Read.All. Для чтения и изменения параметров согласия пользователя используйте Policy.ReadWrite.Authorization.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Чтобы отключить согласие пользователя, установите политики согласия, которые регулируют согласие пользователя, как пустое:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Чтобы разрешить согласие пользователя, выберите, какая политика согласия приложения должна регулировать авторизацию пользователей для предоставления согласия приложениям:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Замените {consent-policy-id} идентификатором политики, которую вы хотите применить. Вы можете выбрать созданную вами настраиваемую политику согласия для приложений или выбрать одну из следующих встроенных политик:

ID Описание
microsoft-user-default-low Разрешение согласия пользователя для приложений от проверенных издателей для выбранных разрешений Разрешите ограниченное согласие пользователя только для приложений от проверенных издателей и приложений, зарегистрированных в клиенте, и только для разрешений, которые вы классифицируете как низкое влияние. (Обязательно разделите разрешения на категории, чтобы выбрать, какие разрешения могут предоставлять пользователи.)
microsoft-user-default-legacy Разрешить согласие пользователя для приложений Этот параметр позволяет всем пользователям давать согласие на любое разрешение, не требующее согласия администратора, для любого приложения.

Например, чтобы разрешить согласие пользователя в соответствии со встроенной политикой microsoft-user-default-low, выполните следующие команды:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Используйте песочницу Graph , чтобы выбрать, какая политика согласия приложения управляет согласием пользователей для приложений.

Чтобы отключить согласие пользователя, установите политики согласия, которые регулируют согласие пользователя, как пустое:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Чтобы разрешить согласие пользователя, выберите, какая политика согласия приложения должна регулировать авторизацию пользователей для предоставления согласия приложениям:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": ["ManagePermissionGrantsForSelf.microsoft-user-default-legacy"]
   }
}

Замените {consent-policy-id} идентификатором политики, которую вы хотите применить. Вы можете выбрать созданную вами настраиваемую политику согласия для приложений или выбрать одну из следующих встроенных политик:

ID Описание
microsoft-user-default-low Разрешение согласия пользователя для приложений от проверенных издателей для выбранных разрешений Разрешите ограниченное согласие пользователя только для приложений от проверенных издателей и приложений, зарегистрированных в клиенте, и только для разрешений, которые вы классифицируете как низкое влияние. (Обязательно разделите разрешения на категории, чтобы выбрать, какие разрешения могут предоставлять пользователи.)
microsoft-user-default-legacy Разрешить согласие пользователя для приложений Этот параметр позволяет всем пользователям давать согласие на любое разрешение, не требующее согласия администратора, для любого приложения.

Например, чтобы включить согласие пользователя в соответствии со встроенной политикой microsoft-user-default-low, используйте следующую команду PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low"
        ]
    }
}

Совет

Чтобы позволить пользователям запрашивать рассмотрение и утверждения приложения, для которого пользователю не разрешено предоставлять согласие, включите рабочий процесс предоставления согласия администратора. Это можно сделать, например, когда согласие пользователя отключено или приложение запрашивает разрешения, которые пользователю запрещено предоставлять.

Дальнейшие действия