Aracılığıyla paylaş

Kullanıcıların uygulamalara nasıl onay verdiğinizi yapılandırma

  • Makale

Bu makalede, kullanıcıların uygulamalara onay verme şeklini yapılandırmayı ve uygulamalara yönelik gelecekteki tüm kullanıcı onayı işlemlerini devre dışı bırakacağınızı öğreneceksiniz.

Bir uygulamanın kuruluşunuzun verilerine erişebilmesi için kullanıcının uygulama izinlerini vermesi gerekir. Farklı izinler farklı erişim düzeylerine izin verir. Varsayılan olarak, tüm kullanıcıların yönetici onayı gerektirmeyen izinler için uygulamalara onay vermesine izin verilir. Örneğin, bir kullanıcı varsayılan olarak bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin veremez.

Kötü amaçlı uygulamaların kullanıcıları kandırarak kuruluşunuzun verilerine erişim verme riskini azaltmak için, yalnızca doğrulanmış bir yayımcı tarafından yayımlanan uygulamalar için kullanıcı onayına izin vermenizi öneririz.

Not

Kullanıcıların uygulamaya atanmalarını gerektiren uygulamalar, dizininiz için kullanıcı onay ilkeleri bir kullanıcının kendi adına onay vermesine izin verse bile yönetici tarafından izinlerine sahip olmalıdır.

Önkoşullar

Kullanıcı onayınızı yapılandırmak için şunları yapmanız gerekir:

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra yönetim merkezi aracılığıyla kullanıcı onayı ayarlarını yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Onayı ve izinleri>Kullanıcı onayı ayarları'na göz atın.

  3. Uygulamalar için kullanıcı onayı'nın altında, tüm kullanıcılar için hangi onay ayarını yapılandırmak istediğinizi seçin.

  4. Ayarlarınızı kaydetmek için Kaydet'i seçin.

'Kullanıcı onayı ayarları' bölmesinin ekran görüntüsü.

Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Microsoft Graph PowerShell modülünü kullanabilirsiniz. Burada kullanılan cmdlet'ler Microsoft.Graph.Identity.SignIns modülüne dahildir.

Microsoft Graph PowerShell'e bağlanma

Gereken en düşük ayrıcalık iznini kullanarak Microsoft Graph PowerShell'e bağlanın. Geçerli kullanıcı onayı ayarlarını okumak için policy.read.all kullanın. Kullanıcı onayı ayarlarını okumak ve değiştirmek için Policy.ReadWrite.Authorization kullanın. Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id} . Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:

KİMLİĞİ Açıklama
microsoft-user-default-low Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver
Yalnızca doğrulanmış yayımcıların ve kiracınızda kayıtlı uygulamaların sınırlı kullanıcı onayına ve yalnızca düşük etki olarak sınıflandırdığınız izinlere izin verin. (Kullanıcıların izin vermesine izin verilen izinleri seçmek için izinleri sınıflandırmayı unutmayın.)
microsoft-user-default-legacy Uygulamalar için kullanıcı onayına izin ver
Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen herhangi bir izni onaylamasına olanak tanır

Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki komutları çalıştırın:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Graph Gezgini'ni kullanın. Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.

Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id} . Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:

KİMLİĞİ Açıklama
microsoft-user-default-low Seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına izin ver
Yalnızca doğrulanmış yayımcıların ve kiracınızda kayıtlı uygulamaların sınırlı kullanıcı onayına ve yalnızca düşük etki olarak sınıflandırdığınız izinlere izin verin. (Kullanıcıların izin vermesine izin verilen izinleri seçmek için izinleri sınıflandırmayı unutmayın.)
microsoft-user-default-legacy Uygulamalar için kullanıcı onayına izin ver
Bu seçenek, tüm kullanıcıların herhangi bir uygulama için yönetici onayı gerektirmeyen herhangi bir izni onaylamasına olanak tanır

Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki PATCH komutunu kullanın:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Bahşiş

Kullanıcıların, kullanıcının onaylamasına izin verilmeyen bir uygulamanın yönetici tarafından gözden geçirilmesini ve onaylanmasını istemesine izin vermek için yönetici onayı iş akışını etkinleştirin. Örneğin, kullanıcı onayı devre dışı bırakıldığında veya bir uygulama kullanıcının vermesine izin verilmeyen izinler istediğinde bunu yapabilirsiniz.

Sonraki adımlar