Konfigurera riskbaserat step-up-medgivande med PowerShell

I den här artikeln får du lära dig hur du konfigurerar riskbaserat step-up-medgivande i Microsoft Entra-ID. Riskbaserat stegvisa medgivande hjälper till att minska användarnas exponering för skadliga appar som gör begäranden om olagligt medgivande.

Till exempel anses medgivandebegäranden för nyligen registrerade appar med flera klienter som inte är utgivare verifierade och som kräver icke-grundläggande behörigheter vara riskfyllda. Om en riskfylld begäran om användarmedgivande identifieras kräver begäran en "step-up" för administratörsmedgivande i stället. Den här step-up-funktionen är aktiverad som standard, men det resulterar endast i en beteendeändring när användarens medgivande är aktiverat.

När en begäran om riskfyllt medgivande identifieras visar medgivandeprompten ett meddelande som anger att administratörsgodkännande krävs. Om arbetsflödet för begäran om administratörsmedgivande är aktiverat kan användaren skicka begäran till en administratör för ytterligare granskning direkt från medgivandeprompten. Om arbetsflödet för begäran om administratörsmedgivande inte är aktiverat visas följande meddelande:

AADSTS90094: <clientAppDisplayName> behöver behörighet att komma åt resurser i din organisation som endast en administratör kan bevilja. Be en administratör att bevilja behörighet till den här appen innan du kan använda den.

I det här fallet loggas även en granskningshändelse med kategorin "ApplicationManagement", en aktivitetstyp för "Medgivande till program" och statusorsaken "Riskfyllt program har identifierats".

Förutsättningar

För att konfigurera riskbaserat stegvisa medgivande behöver du:

• Ett användarkonto. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
• En privilegierad rolladministratör.

Inaktivera eller återaktivera riskbaserat step-up-medgivande

Du kan använda Microsoft Graph PowerShell-betamodulen för att inaktivera det stegvisa administratörsmedgivande som krävs i fall där en risk identifieras, eller för att aktivera den om den tidigare var inaktiverad.

Viktigt!

Kontrollera att du använder cmdlets-modulen Microsoft Graph PowerShell Beta.

1. Kör följande kommando:

   Install-Module Microsoft.Graph.Beta
   

2. Anslut till Microsoft Graph PowerShell:

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Hämta det aktuella värdet för inställningarna för medgivandeprincip Inställningar katalog i klientorganisationen. Detta kräver kontroll för att se om kataloginställningarna för den här funktionen har skapats. Om de inte har skapats använder du värdena från motsvarande kataloginställningsmall.

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   if (-not $settings) {
       $params = @{
           TemplateId = $consentSettingsTemplateId
           Values = @(
               @{ 
                   Name = "BlockUserConsentForRiskyApps"
                   Value = "True"
               }
               @{ 
                   Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                   Value = "<groupId>"
               }
               @{ 
                   Name = "EnableAdminConsentRequests"
                   Value = "True"
               }
               @{ 
                   Name = "EnableGroupSpecificConsent"
                   Value = "True"
               }
           )
       }
       $settings = New-MgBetaDirectorySetting -BodyParameter $params
   }
   $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
   

4. Kontrollera värdet:

   $riskBasedConsentEnabledValue
   

   Förstå inställningsvärdet:

   Inställning	Typ	Beskrivning
   BlockUserConsentForRiskyApps	Booleskt	En flagga som anger om användarens medgivande kommer att blockeras när en riskfylld begäran identifieras.

5. Om du vill ändra värdet BlockUserConsentForRiskyAppsför använder du cmdleten Update-MgBetaDirectorySetting .

   $params = @{
       TemplateId = $consentSettingsTemplateId
       Values = @(
           @{ 
               Name = "BlockUserConsentForRiskyApps"
               Value = "False"
           }
           @{ 
               Name = "ConstrainGroupSpecificConsentToMembersOfGroupId"
               Value = "<groupId>"
           }
           @{ 
               Name = "EnableAdminConsentRequests"
               Value = "True"
           }
           @{ 
               Name = "EnableGroupSpecificConsent"
               Value = "True"
           }
       )
   }
   Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params
   

Nästa steg

• Hantera principer för appmedgivande
• Konfigurera arbetsflödet för administratörsmedgivande