Kullanıcıların uygulamalara onay verme şeklini yapılandırma
Bu makalede, kullanıcıların uygulamalara onay verme şeklini yapılandırmayı ve uygulamalara yönelik gelecekteki tüm kullanıcı onayı işlemlerini devre dışı bırakacağınızı öğreneceksiniz.
Uygulamanın kuruluşunuzun verilerine erişebilmesi için önce bir kullanıcının bunu yapmaya yönelik uygulama izinleri vermesi gerekir. Farklı izinler farklı erişim düzeylerine olanak tanır. Varsayılan olarak tüm kullanıcıların uygulamalara yönetici onayı gerektirmeyen izinler için onay vermesine izin verilir. Örneğin, bir kullanıcı varsayılan olarak bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin veremez.
Kötü amaçlı uygulamaların kullanıcıları kandırarak kuruluşunuzun verilerine erişim verme riskini azaltmak için, yalnızca doğrulanmış bir yayımcı tarafından yayımlanan uygulamalar için kullanıcı onayına izin vermenizi öneririz.
Önkoşullar
Kullanıcı onayınızı yapılandırmak için şunları yapmanız gerekir:
- Bir kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Ayrıcalıklı Rol Yönetici istrator rolü.
Kullanıcı onayı ayarlarını yapılandırma
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra yönetim merkezi aracılığıyla kullanıcı onayı ayarlarını yapılandırmak için:
Microsoft Entra yönetim merkezinde Ayrıcalıklı Rol Yönetici istrator olarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamaları>Onayı ve izinleri>Kullanıcı onayı ayarları'na göz atın.
Uygulamalar için kullanıcı onayı'nın altında, tüm kullanıcılar için hangi onay ayarını yapılandırmak istediğinizi seçin.
Ayarlarınızı kaydetmek için Kaydet'i seçin.
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Microsoft Graph PowerShell modülünü kullanabilirsiniz. Burada kullanılan cmdlet'ler Microsoft.Graph.Identity.SignIns modülüne dahildir.
Microsoft Graph PowerShell'e Bağlan
Gereken en düşük ayrıcalık iznini kullanarak Microsoft Graph PowerShell'e Bağlan. Geçerli kullanıcı onayı ayarlarını okumak için policy.read.all kullanın. Kullanıcı onayı ayarlarını okumak ve değiştirmek için Policy.ReadWrite.Authorization kullanın. Privileged Role Yönetici istrator olarak oturum açmanız gerekir.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Kullanıcı onaylarını devre dışı bırakma
Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned
) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.*
ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
PowerShell kullanarak uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned
) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.*
ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id}
. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
Örneğin, yerleşik ilkeye microsoft-user-default-low
tabi kullanıcı onayını etkinleştirmek için aşağıdaki komutları çalıştırın:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Graph Gezgini'ni kullanın. Privileged Role Yönetici istrator olarak oturum açmanız gerekir.
Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned
) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.*
ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Microsoft Graph kullanarak uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned
) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.*
ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
değerini uygulamak istediğiniz ilkenin kimliğiyle değiştirin {consent-policy-id}
. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
Örneğin, yerleşik ilkeye microsoft-user-default-low
tabi kullanıcı onayını etkinleştirmek için aşağıdaki PATCH komutunu kullanın:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
İpucu
Kullanıcıların, kullanıcının onaylamasına izin verilmeyen bir uygulamanın yönetici tarafından gözden geçirilmesini ve onaylanmasını istemesine izin vermek için yönetici onayı iş akışını etkinleştirin. Örneğin, kullanıcı onayı devre dışı bırakıldığında veya bir uygulama kullanıcının vermesine izin verilmeyen izinler istediğinde bunu yapabilirsiniz.