設定使用者同意應用程式的方式
在本文中,您將瞭解如何設定使用者同意應用程式的方式,以及如何停用所有未來的使用者同意作業給應用程式。
在應用程式可以存取貴組織的資料之前,使用者必須授與應用程式權限。 不同的權限允許不同的存取層級。 根據預設,所有使用者都能同意應用程式,以取得不需要系統管理員同意的權限。 例如,根據預設,使用者可以同意允許應用程式存取其信箱,但無法同意允許應用程式不受限制地讀取和寫入組織中的所有檔案。
若要降低惡意應用程式嘗試誘騙使用者授與貴組織數據的存取權的風險,建議您只允許使用者同意已驗證發行者發佈的應用程式。
必要條件
若要設定使用者同意,您需要:
- 用戶帳戶。 如果您還沒有帳戶,您可以 免費建立帳戶。
- 全域 管理員 istrator 角色。
設定使用者同意設定
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
若要透過 Microsoft Entra 系統管理中心設定使用者同意設定:
以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>同意] 和 [使用者同意設定] 許可權。>
在 [使用者同意應用程式] 底下,選取您要為所有使用者設定的同意設定。
選取 [儲存] 以儲存您的設定。
若要選擇哪個應用程式同意原則可控管應用程式的使用者同意,您可以使用 Microsoft Graph PowerShell 模組。 此處使用的 Cmdlet 包含在 Microsoft.Graph.Identity.SignIns 模組中。
連線 至 Microsoft Graph PowerShell
使用所需的最低許可權許可權,連線 至 Microsoft Graph PowerShell。 若要讀取目前的使用者同意設定,請使用 Policy.Read.All。 若要讀取和變更使用者同意設定,請使用 Policy.ReadWrite.Authorization。 您必須以 Global 管理員 istrator 身分登入。
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
停用使用者同意
若要停用使用者同意,請確定同意原則 (PermissionGrantPoliciesAssigned
) 在更新集合時包含其他目前 ManagePermissionGrantsForOwnedResource.*
的原則。 如此一來,您可以維護使用者同意設定和其他資源同意設定的目前組態。
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
使用 PowerShell 允許使用者同意應用程式同意原則
若要允許使用者同意,請選擇哪些應用程式同意原則應控管用戶的授權,以授與應用程式同意。 請確定同意原則 (PermissionGrantPoliciesAssigned
) 在更新集合時包含其他目前 ManagePermissionGrantsForOwnedResource.*
的原則。 如此一來,您可以維護使用者同意設定和其他資源同意設定的目前組態。
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
將取代 {consent-policy-id}
為您想要套用的原則標識碼。 您可以選擇 您已建立的自訂應用程式同意原則 ,也可以從下列內建原則中選擇:
識別碼 | 描述 |
---|---|
microsoft-user-default-low | 針對選取的許可權,允許使用者同意已驗證發行者的應用程式 只允許來自已驗證發行者和您租用戶中註冊之應用程式的有限使用者同意,而且只針對您分類為 低影響的許可權。 (請記得將 許可權 分類,以選取允許使用者同意的許可權。 |
microsoft-user-default-legacy | 允許使用者同意應用程式 此選項可讓所有使用者同意任何不需要系統管理員同意的任何許可權,任何應用程式 |
例如,若要根據內建原則 microsoft-user-default-low
啟用使用者同意,請執行下列命令:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
使用 Graph 總管來選擇哪個應用程式同意原則會控管應用程式的使用者同意。 您必須以全域 管理員 istrator 身分登入。
若要停用使用者同意,請確定同意原則 (PermissionGrantPoliciesAssigned
) 在更新集合時包含其他目前 ManagePermissionGrantsForOwnedResource.*
的原則。 如此一來,您可以維護使用者同意設定和其他資源同意設定的目前組態。
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
使用 Microsoft Graph 允許使用者同意應用程式同意原則
若要允許使用者同意,請選擇哪些應用程式同意原則應控管用戶的授權,以授與應用程式同意。 請確定同意原則 (PermissionGrantPoliciesAssigned
) 在更新集合時包含其他目前 ManagePermissionGrantsForOwnedResource.*
的原則。 如此一來,您可以維護使用者同意設定和其他資源同意設定的目前組態。
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
將取代 {consent-policy-id}
為您想要套用的原則標識碼。 您可以選擇 您已建立的自訂應用程式同意原則 ,也可以從下列內建原則中選擇:
識別碼 | 描述 |
---|---|
microsoft-user-default-low | 針對選取的許可權,允許使用者同意已驗證發行者的應用程式 只允許來自已驗證發行者和您租用戶中註冊之應用程式的有限使用者同意,而且只針對您分類為 低影響的許可權。 (請記得將 許可權 分類,以選取允許使用者同意的許可權。 |
microsoft-user-default-legacy | 允許使用者同意應用程式 此選項可讓所有使用者同意任何不需要系統管理員同意的任何許可權,任何應用程式 |
例如,若要根據內建原則 microsoft-user-default-low
啟用使用者同意,請使用下列 PATCH 命令:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
提示
若要允許使用者要求系統管理員檢閱和核准使用者不允許同意的應用程式, 請啟用系統管理員同意工作流程。 例如,當使用者同意已停用或應用程式要求使用者不允許授與的許可權時,您可能會這麼做。