設定使用者同意應用程式的方式

發行項
06/23/2024

在本文中，您將了解如何設定使用者同意應用程式的方式，以及如何停用應用程式的所有未來使用者同意作業。

在應用程式可以存取貴組織的資料之前，使用者必須授與應用程式權限。不同的權限允許不同的存取層級。根據預設，所有使用者都能同意應用程式，以取得不需要系統管理員同意的權限。例如，根據預設，使用者可以同意允許應用程式存取其信箱，但是不能同意允許應用程式不受約束地存取，以讀取和寫入貴組織中的所有檔案。

若要降低惡意應用程式嘗試誘騙使用者授與貴組織資料存取權的風險，建議您只允許使用者同意由已驗證的發行者發佈的應用程式。

必要條件

若要設定使用者同意，您需要：

使用者帳戶。若您還沒有帳戶，可以免費建立帳戶。
特殊權限角色管理員角色。

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

若要透過 Microsoft Entra 系統管理中心設定使用者同意設定：

以 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[同意和權限]>[使用者同意設定]。
在 [使用者同意應用程式] 底下，選取您要為所有使用者設定的同意設定。
選取 [儲存] 以儲存您的設定。

此螢幕擷取畫面顯示 [使用者同意設定] 窗格。

若要選擇控管應用程式使用者同意的應用程式同意原則，您可以使用 Microsoft Graph PowerShell 模組。此處使用的 Cmdlet 包含在 Microsoft.Graph.Identity.SignIns 模組中。

連線到 Microsoft Graph PowerShell

使用所需的最低權限連線到 Microsoft Graph PowerShell。若要讀取目前的使用者同意設定，請使用 Policy.Read.All。若要讀取和變更使用者同意設定，請使用 Policy.ReadWrite.Authorization。您必須以特殊權限角色管理員身分登入。

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

若要停用使用者同意，請確定同意原則 (PermissionGrantPoliciesAssigned) 在更新集合時包括其他目前的 ManagePermissionGrantsForOwnedResource.* 原則。如此一來，您可以維護使用者同意設定和其他資源同意設定的目前設定。

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

若要允許使用者同意，請選擇應該治理使用者授權以將同意授與應用程式的應用程式同意原則。請確定同意原則 (PermissionGrantPoliciesAssigned) 在更新集合時包含其他目前的 ManagePermissionGrantsForOwnedResource.* 原則 (如果有)。如此一來，您可以維護使用者同意設定和其他資源同意設定的目前設定。

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

將 {consent-policy-id} 取代為您想要套用的原則識別碼。您可以選擇您所建立的自訂應用程式同意原則，也可以從下列內建原則中進行選擇：

識別碼	描述
microsoft-user-default-low	允許使用者同意來自已驗證發行者的應用程式以及選取的權限只允許有限使用者同意來自已驗證發行者的應用程式的應用程式以及在您租用戶中所註冊的應用程式，以及只允許針對您分類為「低影響」的權限 (請記住分類權限，以選取允許使用者同意的權限)。
microsoft-user-default-legacy	允許使用者同意應用程式此選項可讓所有使用者同意任何應用程式的任何權限，而此權限不需要管理員同意

例如，若要讓使用者同意遵守內建原則 microsoft-user-default-low，請執行下列命令：

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

使用 Graph 總管來選擇控管應用程式使用者同意的應用程式同意原則。您必須以特殊權限角色管理員身分登入。

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

將 {consent-policy-id} 取代為您想要套用的原則識別碼。您可以選擇您所建立的自訂應用程式同意原則，也可以從下列內建原則中進行選擇：

識別碼	描述
microsoft-user-default-low	允許使用者同意來自已驗證發行者的應用程式以及選取的權限只允許有限使用者同意來自已驗證發行者的應用程式的應用程式以及在您租用戶中所註冊的應用程式，以及只允許針對您分類為「低影響」的權限 (請記住分類權限，以選取允許使用者同意的權限)。
microsoft-user-default-legacy	允許使用者同意應用程式此選項可讓所有使用者同意任何應用程式的任何權限，而此權限不需要管理員同意

例如，若要讓使用者同意遵守內建原則 microsoft-user-default-low，請使用下列 PATCH 命令：

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

提示

若要允許使用者要求管理員對不允許使用者同意的應用程式進行檢閱和核准，請啟用管理員同意工作流程。例如，執行此動作的時機可能是已停用使用者同意時，或應用程式要求不允許使用者授與的權限時。

共用方式為

必要條件

連線到 Microsoft Graph PowerShell

下一步

意見反應

意見反應

其他資源

共用方式為

必要條件

設定使用者同意設定

連線到 Microsoft Graph PowerShell

停用使用者同意

使用 PowerShell 允許使用者同意遵守應用程式同意原則

使用 Microsoft Graph 允許使用者同意遵守應用程式同意原則

下一步

意見反應

意見反應

其他資源