Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Entra Id'de risk tabanlı adım adım onay yapılandırmayı öğreneceksiniz. Risk tabanlı adım adım onay, kullanıcının yasadışı onay isteklerinde bulunan kötü amaçlı uygulamalara maruz kalmasını azaltmaya yardımcı olur.
Örneğin, yayımcı tarafından doğrulanmayan ve temel olmayan izinler gerektiren yeni kaydedilen çok kiracılı uygulamalar için onay istekleri riskli kabul edilir. Riskli bir kullanıcı onayı isteği algılanırsa, istek bunun yerine yönetici onayı için bir "adım adım" gerektirir. Bu adım yükseltme özelliği varsayılan olarak etkindir, ancak yalnızca kullanıcı onayı etkinleştirildiğinde bir davranış değişikliğine neden olur.
Riskli bir onay isteği algılandığında, onay isteminde yönetici onayı gerektiğini belirten bir ileti görüntülenir. Yönetici onayı isteği iş akışı etkinleştirilirse, kullanıcı isteği doğrudan onay isteminden daha fazla gözden geçirmek üzere bir yöneticiye gönderebilir. Yönetici onayı isteği iş akışı etkin değilse aşağıdaki ileti görüntülenir:
AADSTS90094: <clientAppDisplayName'in> kuruluşunuzda yalnızca bir yöneticinin verebileceği kaynaklara erişme iznine sahip olması gerekir. Kullanmadan önce bir yöneticiden bu uygulamaya izin vermesini isteyin.
Bu durumda, bir denetim olayı da "ApplicationManagement" kategorisi, "Uygulamaya onay" etkinlik türü ve "Riskli uygulama algılandı" durum nedeni ile günlüğe kaydedilir.
Önkoşullar
Risk tabanlı adım adım onay yapılandırmak için şunları yapmanız gerekir:
- Bir kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Ayrıcalıklı Rol Yöneticisi.
Risk tabanlı adım adım onayı devre dışı bırakma veya yeniden etkinleştirme
Bir risk algılandığında yönetici adımlarını devre dışı bırakmak veya etkinleştirmek için Microsoft Graph PowerShell beta modülünü kullanın.
Önemli
Microsoft Graph PowerShell Beta cmdlet'leri modülünü kullandığınızdan emin olun.
Şu komutu çalıştırın:
Install-Module Microsoft.Graph.BetaMicrosoft Graph PowerShell'e bağlanın:
Connect-MgGraph -Scopes "Directory.ReadWrite.All"Onay İlkesi Ayarları dizin ayarlarının geçerli değerini kiracınızdaki alın. Bunu yapmak için bu özelliğin dizin ayarlarının oluşturulup oluşturulmadığının denetlenmesi gerekir. Oluşturulmadıysa, ilgili dizin ayarları şablonundaki değerleri kullanın.
$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings $settings = Get-MgBetaDirectorySetting -All | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId } if (-not $settings) { $params = @{ TemplateId = $consentSettingsTemplateId Values = @( @{ Name = "BlockUserConsentForRiskyApps" Value = "True" } @{ Name = "ConstrainGroupSpecificConsentToMembersOfGroupId" Value = "<groupId>" } @{ Name = "EnableAdminConsentRequests" Value = "True" } @{ Name = "EnableGroupSpecificConsent" Value = "True" } ) } $settings = New-MgBetaDirectorySetting -BodyParameter $params } $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }Değeri denetleyin:
$riskBasedConsentEnabledValueAyarlar değerini anlama:
Ayar Türü Açıklama Riskli Uygulamalar İçin Kullanıcı Onayını Engelle Boolean (Boole Mantığı) Riskli bir istek algılandığında kullanıcı onayının engellenip engellenmediğini gösteren bir bayrak. değerini
BlockUserConsentForRiskyAppsdeğiştirmek için Update-MgBetaDirectorySetting cmdlet'ini kullanın.$params = @{ TemplateId = $consentSettingsTemplateId Values = @( @{ Name = "BlockUserConsentForRiskyApps" Value = "False" } @{ Name = "ConstrainGroupSpecificConsentToMembersOfGroupId" Value = "<groupId>" } @{ Name = "EnableAdminConsentRequests" Value = "True" } @{ Name = "EnableGroupSpecificConsent" Value = "True" } ) } Update-MgBetaDirectorySetting -DirectorySettingId $settings.Id -BodyParameter $params