Kullanıcıların uygulamalara onay verme şeklini yapılandırma

  • Makale

Bu makalede, kullanıcıların uygulamalara onay verme şeklini yapılandırmayı ve uygulamalara yönelik gelecekteki tüm kullanıcı onayı işlemlerini devre dışı bırakacağınızı öğreneceksiniz.

Uygulamanın kuruluşunuzun verilerine erişebilmesi için önce bir kullanıcının bunu yapmaya yönelik uygulama izinleri vermesi gerekir. Farklı izinler farklı erişim düzeylerine olanak tanır. Varsayılan olarak tüm kullanıcıların uygulamalara yönetici onayı gerektirmeyen izinler için onay vermesine izin verilir. Örneğin, bir kullanıcı varsayılan olarak bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin veremez.

Kötü amaçlı uygulamaların kullanıcıları kandırarak kuruluşunuzun verilerine erişim verme riskini azaltmak için, yalnızca doğrulanmış bir yayımcı tarafından yayımlanan uygulamalar için kullanıcı onayına izin vermenizi öneririz.

Önkoşullar

Kullanıcı onayınızı yapılandırmak için şunları yapmanız gerekir:

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra yönetim merkezi aracılığıyla kullanıcı onayı ayarlarını yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Onayı ve izinleri>Kullanıcı onayı ayarları'na göz atın.

  3. Uygulamalar için kullanıcı onayı'nın altında, tüm kullanıcılar için hangi onay ayarını yapılandırmak istediğinizi seçin.

  4. Ayarlarınızı kaydetmek için Kaydet'i seçin.

Screenshot of the 'User consent settings' pane.

Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Microsoft Graph PowerShell modülünü kullanabilirsiniz. Burada kullanılan cmdlet'ler Microsoft.Graph.Identity.SignIns modülüne dahildir.

Microsoft Graph PowerShell'e Bağlan

Gereken en düşük ayrıcalık iznini kullanarak Microsoft Graph PowerShell'e Bağlan. Geçerli kullanıcı onayı ayarlarını okumak için policy.read.all kullanın. Kullanıcı onayı ayarlarını okumak ve değiştirmek için Policy.ReadWrite.Authorization kullanın. Genel Yönetici istrator olarak oturum açmanız gerekir.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id} . Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:

Kimlik Açıklama
microsoft-user-default-low Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver
Yalnızca doğrulanmış yayımcıların ve kiracınızda kayıtlı uygulamaların sınırlı kullanıcı onayına ve yalnızca düşük etki olarak sınıflandırdığınız izinlere izin verin. (Kullanıcıların izin vermesine izin verilen izinleri seçmek için izinleri sınıflandırmayı unutmayın.)
microsoft-user-default-legacy Uygulamalar için kullanıcı onayına izin ver
Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen herhangi bir izni onaylamasına olanak tanır

Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki komutları çalıştırın:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Graph Gezgini'ni kullanın. Genel Yönetici istrator olarak oturum açmanız gerekir.

Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id} . Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:

Kimlik Açıklama
microsoft-user-default-low Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver
Yalnızca doğrulanmış yayımcıların ve kiracınızda kayıtlı uygulamaların sınırlı kullanıcı onayına ve yalnızca düşük etki olarak sınıflandırdığınız izinlere izin verin. (Kullanıcıların izin vermesine izin verilen izinleri seçmek için izinleri sınıflandırmayı unutmayın.)
microsoft-user-default-legacy Uygulamalar için kullanıcı onayına izin ver
Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen herhangi bir izni onaylamasına olanak tanır

Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki PATCH komutunu kullanın:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Bahşiş

Kullanıcıların, kullanıcının onaylamasına izin verilmeyen bir uygulamanın yönetici tarafından gözden geçirilmesini ve onaylanmasını istemesine izin vermek için yönetici onayı iş akışını etkinleştirin. Örneğin, kullanıcı onayı devre dışı bırakıldığında veya bir uygulama kullanıcının vermesine izin verilmeyen izinler istediğinde bunu yapabilirsiniz.

Sonraki adımlar