Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, kullanıcıların uygulamalara ne zaman ve nasıl izin vereceğinizi denetlemek için Microsoft Entra ID'de kullanıcı onayı ayarlarını yapılandırmayı öğreneceksiniz. Bu kılavuz, BT yöneticilerinin kullanıcı onayını kısıtlayarak veya devre dışı bırakarak güvenlik risklerini azaltmasına yardımcı olur.
Uygulamanın kuruluşunuzun verilerine erişebilmesi için önce bir kullanıcının bunu yapmaya yönelik uygulama izinleri vermesi gerekir. Farklı izinler farklı erişim düzeylerine olanak tanır. Varsayılan olarak tüm kullanıcıların uygulamalara yönetici onayı gerektirmeyen izinler için onay vermesine izin verilir. Örneğin, bir kullanıcı varsayılan olarak bir uygulamanın posta kutusuna erişmesine izin verebilir, ancak uygulamanın kuruluşunuzdaki tüm dosyaları okumasına ve yazmasına izin veremez.
Kötü amaçlı uygulamaların kullanıcıları kandırarak kuruluşunuzun verilerine erişim verme riskini azaltmak için, yalnızca doğrulanmış bir yayımcı tarafından yayımlanan uygulamalar için kullanıcı onayına izin vermenizi öneririz.
Uyarı
Kullanıcıların uygulamaya atanmasını gerektiren uygulamaların, dizininizde kullanıcıların kendi adlarına onay vermesine izin verse bile, izinleri bir yönetici tarafından onaylanmalıdır.
Önkoşullar
Kullanıcı onayınızı yapılandırmak için şunları yapmanız gerekir:
- Bir kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Ayrıcalıklı Rol Yöneticisi rolü.
- Genel Yönetici rolü yalnızca Microsoft Entra yönetim merkezi kullanılırken gereklidir.
Kullanıcı onayı ayarlarını yapılandırma
Microsoft Entra Id'de kullanıcı onayı ayarlarını Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini kullanarak yapılandırabilirsiniz. Yapılandırdığınız ayarlar kuruluşunuzdaki tüm kullanıcılar için geçerlidir.
Microsoft Entra yönetim merkezinde kullanıcı onaylarını yapılandırma
Microsoft Entra yönetim merkezi aracılığıyla kullanıcı onayı ayarlarını yapılandırmak için:
Microsoft Entra yönetim merkezineGenel Yöneticiolarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamaları>Onayı ve izinleri>Kullanıcı onayı ayarları'na göz atın.
Uygulamalar için kullanıcı onayı'nın altında, tüm kullanıcılar için hangi onay ayarını yapılandırmak istediğinizi seçin.
Ayarlarınızı kaydetmek için Kaydet'i seçin.
Microsoft Graph PowerShell'de yetkilendirme ve izin verme ilkelerini anlama
Microsoft Graph PowerShell kullanarak kullanıcı onayı ayarlarını program aracılığıyla yapılandırmak için, kiracı genelinde yetkilendirme ilkesi ile bireysel izin verme ilkeleri arasındaki ayrımı anlamak önemlidir.
authorizationPolicy
Update-MgPolicyAuthorizationPolicy kullanılarak alınan , kullanıcıların uygulamalara onay verip veremeyeceği ve varsayılan kullanıcı rolüne hangi izin verme ilkelerinin atandığı gibi genel ayarları yönetir. Örneğin, yalnızca ManagePermissionGrantsForOwnedResource.DeveloperConsent koleksiyonunda atama yaparak kullanıcı onayını devre dışı bırakabilirken, geliştiricilerin sahip oldukları uygulamalar için izinleri yönetmesine izin verebilirsiniz.
Öte yandan, permissionGrantPolicies uç noktası geçerli izin verme ilkelerinizi listeler. Bu ilkeler, uygulamalara hangi izinlerin ve hangi koşullar altında verilebileceğini belirler. Her ilke belirli koşulları 'içerir', ancak diğerlerini 'dışlar'. Kullanıcı bir uygulamaya onay vermeye çalıştığında, sistem izin verme ilkelerini denetleerek bunlardan herhangi birinin kullanıcının isteğine uygulanıp uygulanmadığını denetler. Örneğin, düşük riskli ilke kullanıcıların 'düşük riskli' olarak yapılandırılan izinlere onay vermesine izin verebilir. Bu düşük riskli ilkeleri (GUID olarak) içerir. Başka bir senaryoda, kullanıcı 'AdminOnly' ilkesiyle eşleşen bir bağlamda onay vermeye çalışırsa onay veremez.
Uyarı
Bir Update-MgPolicyPermissionGrantPolicy komutuyla rıza ayarlarını güncelleştirmeden önce, hangi izin verme ilkelerinin zaten atanmış olduğunu belirlemek için her zaman geçerli authorizationPolicy değerini alın. Bu, geliştiricilerin sahip oldukları uygulamalar için onayı yönetmesine olanak tanıyanlar gibi gerekli izinleri korumanızı ve mevcut işlevleri istemeden kaldırmanızı sağlar.
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Microsoft Graph PowerShell modülünü kullanın. Burada kullanılan cmdlet'ler Microsoft.Graph.Identity.SignIns modülüne dahildir.
Gereken en düşük ayrıcalık iznini kullanarak Microsoft Graph PowerShell'e bağlanın. Geçerli kullanıcı onayı ayarlarını okumak için policy.read.all kullanın. Kullanıcı onayı ayarlarını okumak ve değiştirmek için Policy.ReadWrite.Authorization kullanın. Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Microsoft Graph PowerShell kullanarak kullanıcı onaylarını devre dışı bırakma
Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
PowerShell kullanarak uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
{consent-policy-id} ile uygulamak istediğiniz ilkenin kimliğini değiştirin. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki komutları çalıştırın:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Microsoft Graph'ta yetkilendirme ve izin verme ilkelerini anlama
Microsoft Graph kullanarak kullanıcı onayı ayarlarını program aracılığıyla yapılandırmak için, kiracı genelinde yetkilendirme ilkesi ile bireysel izin verme ilkeleri arasındaki ayrımı anlamak önemlidir.
authorizationPolicy (kullanılarak GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicyalınır), kullanıcıların uygulamalara onay verip veremeyeceği ve varsayılan kullanıcı rolüne hangi izin verme ilkelerinin atandığı gibi genel ayarları yönetir. Örneğin, yalnızca ManagePermissionGrantsForOwnedResource.DeveloperConsent koleksiyonunda atama yaparak kullanıcı onayını devre dışı bırakabilirken, geliştiricilerin sahip oldukları uygulamalar için izinleri yönetmesine izin verebilirsiniz.
Öte yandan uç permissionGrantPolicies nokta (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) geçerli izin verme ilkelerinizi listeler. Bu ilkeler, uygulamalara hangi izinlerin ve hangi koşullar altında verilebileceğini belirler. Her ilke belirli koşulları 'içerir', ancak diğerlerini 'dışlar'. Kullanıcı bir uygulamaya onay vermeye çalıştığında, sistem izin verme ilkelerini denetleerek bunlardan herhangi birinin kullanıcının isteğine uygulanıp uygulanmadığını denetler. Örneğin, düşük riskli ilke kullanıcıların 'düşük riskli' olarak yapılandırılan izinlere onay vermesine izin verebilir. Bu düşük riskli ilkeleri (GUID olarak) içerir. Başka bir senaryoda, kullanıcı 'AdminOnly' ilkesiyle eşleşen bir bağlamda onay vermeye çalışırsa onay veremez.
Uyarı
Onay ayarlarını bir PATCH istekle güncelleştirmeden önce, hangi izin verme ilkelerinin zaten atanmış olduğunu belirlemek için her zaman geçerli authorizationPolicy öğesini alın. Bu, geliştiricilerin sahip oldukları uygulamalar için onayı yönetmesine olanak tanıyanlar gibi gerekli izinleri korumanızı ve mevcut işlevleri istemeden kaldırmanızı sağlar.
Uygulamalar için kullanıcı onayını hangi uygulama onayı ilkesinin yöneteceğini seçmek için Graph Gezgini'ni kullanın. Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.
Microsoft Graph kullanarak kullanıcı onaylarını devre dışı bırakma
Kullanıcı onayını devre dışı bırakmak için, onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Microsoft Graph kullanarak uygulama onayı ilkesine tabi kullanıcı onayına izin verme
Kullanıcı onayına izin vermek için, kullanıcıların uygulamalara onay vermek için yetkilendirmesini hangi uygulama onayı ilkesinin yöneteceğini seçin. Onay ilkelerinin (PermissionGrantPoliciesAssigned) koleksiyonu güncelleştirirken varsa diğer geçerli ManagePermissionGrantsForOwnedResource.* ilkeleri içerdiğinden emin olun. Bu şekilde, kullanıcı onayı ayarları ve diğer kaynak onayı ayarları için geçerli yapılandırmanızı koruyabilirsiniz.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
{consent-policy-id} ile uygulamak istediğiniz ilkenin kimliğini değiştirin. Oluşturduğunuz özel bir uygulama onay ilkesi seçebilir veya aşağıdaki yerleşik ilkelerden birini seçebilirsiniz:
Örneğin, yerleşik ilkeye microsoft-user-default-lowtabi kullanıcı onayını etkinleştirmek için aşağıdaki PATCH komutunu kullanın:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Kullanıcı onayı ayarlarında yapılan tüm güncelleştirmeler yalnızca uygulamalar için gelecekteki onay işlemlerini etkiler. Mevcut onay izinleri değişmeden kalır ve kullanıcılar daha önce verilen izinlere göre erişime sahip olmaya devam eder. Mevcut onay vermelerini iptal etmeyi öğrenmek için bkz. Kurumsal uygulamalara verilen izinleri gözden geçirme.
İpucu
Kullanıcıların, kullanıcının onaylamasına izin verilmeyen bir uygulamanın yönetici tarafından gözden geçirilmesini ve onaylanmasını istemesine izin vermek için yönetici onayı iş akışını etkinleştirin. Örneğin, kullanıcı onayı devre dışı bırakıldığında veya bir uygulama kullanıcının vermesine izin verilmeyen izinler istediğinde bunu yapabilirsiniz.