Kullanıcıların uygulamalara onay verme şeklini yapılandırma
Bu makalede, kullanıcıların uygulamalara onay verme şeklini yapılandırmayı ve uygulamalara yönelik gelecekteki tüm kullanıcı onayı işlemlerini devre dışı bırakacağınızı öğreneceksiniz.
Uygulamanın kuruluşunuzun verilerine erişebilmesi için önce bir kullanıcının bunu yapmaya yönelik uygulama izinleri vermesi gerekir. Farklı izinler farklı erişim düzeylerine olanak tanır. Varsayılan olarak tüm kullanıcıların uygulamalara yönetici onayı gerektirmeyen izinler için onay vermesine izin verilir. Örneğin, bir kullanıcı varsayılan olarak bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin verme izni vermez.
Kötü amaçlı uygulamaların kullanıcıları kuruluşunuzun verilerine erişim vermeleri için kandırmaya çalışma riskini azaltmak için, yalnızca doğrulanmış bir yayımcı tarafından yayımlanmış uygulamalar için kullanıcı onayına izin vermenizi öneririz.
Önkoşullar
Kullanıcı onayınızı yapılandırmak için şunları yapmanız gerekir:
- Bir kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Genel Yönetici rolü.
Kullanıcı onayı ayarlarını yapılandırma
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz farklılık gösterebilir.
Microsoft Entra yönetim merkezi aracılığıyla kullanıcı onayı ayarlarını yapılandırmak için:
Microsoft Entra yönetim merkezindeGenel Yönetici olarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamalar>Onayı ve izinleri>Kullanıcı onayı ayarları'na göz atın.
Uygulamalar için kullanıcı onayı'nın altında, tüm kullanıcılar için hangi onay ayarını yapılandırmak istediğinizi seçin.
Ayarlarınızı kaydetmek için Kaydet’i seçin.
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Microsoft Graph PowerShell modülünü kullanabilirsiniz. Burada kullanılan cmdlet'ler Microsoft.Graph.Identity.SignIns modülüne dahildir.
Microsoft Graph PowerShell'e bağlanma
Gereken en düşük ayrıcalık iznini kullanarak Microsoft Graph PowerShell'e bağlanın. Geçerli kullanıcı onayı ayarlarını okumak için Policy.Read.All kullanın. Kullanıcı onayı ayarlarını okumak ve değiştirmek için Policy.ReadWrite.Authorization kullanın. Genel Yönetici olarak oturum açmanız gerekir.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Kullanıcı onaylarını devre dışı bırakma
Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay verme yetkisini hangi uygulama onayı ilkesinin yöneteceğini seçin. Lütfen onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
yerine {consent-policy-id} uygulamak istediğiniz ilkenin kimliğini girin. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
| ID | Description |
|---|---|
| microsoft-user-default-low | Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver Yalnızca kiracınızda kayıtlı doğrulanmış yayımcıların ve uygulamaların uygulamaları için ve yalnızca düşük etki olarak sınıflandırdığınız izinler için sınırlı kullanıcı onayına izin verin. (Kullanıcıların hangi izinlere izin verebileceğinizi seçmek için izinleri sınıflandırmayı unutmayın.) |
| microsoft-user-default-legacy | Uygulamalar için kullanıcı onayına izin ver Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen izinlere onay vermesine olanak tanır |
Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi olan kullanıcı onayını etkinleştirmek için aşağıdaki komutları çalıştırın:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Graph Gezgini'ni kullanın.
Kullanıcı onayını devre dışı bırakmak için lütfen onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay verme yetkisini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
yerine {consent-policy-id} uygulamak istediğiniz ilkenin kimliğini girin. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
| ID | Description |
|---|---|
| microsoft-user-default-low | Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver Yalnızca kiracınızda kayıtlı doğrulanmış yayımcıların ve uygulamaların uygulamaları için ve yalnızca düşük etki olarak sınıflandırdığınız izinler için sınırlı kullanıcı onayına izin verin. (Kullanıcıların hangi izinlere izin verebileceğinizi seçmek için izinleri sınıflandırmayı unutmayın.) |
| microsoft-user-default-legacy | Uygulamalar için kullanıcı onayına izin ver Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen izinlere onay vermesine olanak tanır |
Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi olan kullanıcı onayını etkinleştirmek için aşağıdaki PATCH komutunu kullanın:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
İpucu
Kullanıcıların onay vermesine izin verilmeyen bir uygulamanın yönetici tarafından gözden geçirilmesini ve onaylanmasını istemesine izin vermek için yönetici onayı iş akışını etkinleştirin. Örneğin, kullanıcı onayı devre dışı bırakıldığında veya bir uygulama kullanıcının vermesine izin verilmeyen izinler istediğinde bunu yapabilirsiniz.