Sdílet prostřednictvím

Správa zásad souhlasu aplikací pro vlastníky skupin

  • Článek

Zásady souhlasu aplikací představují způsob, jak spravovat oprávnění, která aplikace mají pro přístup k datům ve vaší organizaci. Používají se k řízení toho, s jakými aplikacemi můžou uživatelé souhlasit, a k zajištění toho, aby aplikace splňovaly určitá kritéria předtím, než budou mít přístup k datům. Tyto zásady pomáhají organizacím udržovat kontrolu nad svými daty a zajistit, aby k nim přistupovaly jenom důvěryhodné aplikace.

V tomto článku se dozvíte, jak spravovat předdefinované a vlastní zásady souhlasu s aplikacemi, abyste mohli řídit, kdy je možné udělit souhlas vlastníka skupiny.

Pomocí Microsoft Graphu a Microsoft Graph PowerShellu můžete zobrazit a spravovat zásady souhlasu vlastníka skupiny.

Zásada souhlasu vlastníka skupiny se skládá z nulových nebo více sad podmínek "include" a nula nebo více sad podmínek vyloučení. Aby byla událost považována za v zásadách souhlasu vlastníka skupiny, nesmí sada podmínek include odpovídat žádné sadě podmínek vyloučení.

Každá sada podmínek se skládá z několika podmínek. Aby událost odpovídala sadě podmínek, musí být splněny všechny podmínky v sadě podmínek.

Zásady souhlasu vlastníka skupiny, kde ID začíná na "microsoft-" jsou předdefinované zásady. Zásady souhlasu vlastníka skupiny například popisují podmínky, microsoft-pre-approval-apps-for-group za kterých mohou vlastníci skupiny udělit souhlas s aplikacemi z předschváleného seznamu správcem pro přístup k datům pro skupiny, které vlastní. Předdefinované zásady se dají použít ve vlastních rolích adresáře a ke konfiguraci nastavení souhlasu uživatele, ale nedají se upravovat ani odstraňovat.

Požadavky

Pokud chcete spravovat zásady souhlasu vlastníka skupiny pro aplikace pomocí Microsoft Graph PowerShellu, připojte se k Prostředí Microsoft Graph PowerShell a přihlaste se pomocí jedné z rolí uvedených v části Požadavky. Musíte také udělit souhlas s oprávněním Policy.ReadWrite.PermissionGrant .

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Zjistěte, jak ověřit, jestli je nastavení souhlasu vlastníka skupiny autorizované jinými způsoby.

  1. Načtení aktuální hodnoty pro nastavení souhlasu vlastníka skupiny

      Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned

    Pokud ManagePermissionGrantPoliciesForOwnedResource se vrátí, PermissionGrantPoliciesAssignedje možné, že nastavení souhlasu vlastníka skupiny bylo autorizované jinými způsoby.

  2. Zkontrolujte, jestli je zásada vymezená na group.

       Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties

Pokud ResourceScopeType == groupje nastavení souhlasu vlastníka skupiny autorizované jinými způsoby. Kromě toho platí, že pokud byly přiřazeny microsoft-pre-approval-apps-for-groupzásady souhlasu aplikace pro skupiny, znamená to, že je pro vašeho tenanta povolená funkce předběžného schválení.

Je vhodné začít seznámením se stávajícími zásadami souhlasu vlastníka skupiny ve vaší organizaci:

  1. Výpis všech zásad souhlasu vlastníka skupiny:

    Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description

  2. Zobrazení sad podmínek include zásady:

    Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl

  3. Zobrazení sad podmínek pro vyloučení:

    Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl

Pokud chcete vytvořit vlastní zásadu souhlasu vlastníka skupiny, postupujte takto:

  1. Vytvořte novou prázdnou zásadu souhlasu vlastníka skupiny.

    New-MgPolicyPermissionGrantPolicy `
    -Id "my-custom-app-consent-policy-for-group" `
    -DisplayName "My first custom app consent policy for group" `
    -Description "This is a sample custom app consent policy for group." `
    -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}

  2. Přidejte sady podmínek "include".

    # Include delegated permissions classified "low", for apps from verified publishers
New-MgPolicyPermissionGrantPolicyInclude `
    -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
    -PermissionType "delegated" `
    -PermissionClassification "low" `
    -ClientApplicationsFromVerifiedPublisherOnly

    Opakujte tento krok a přidejte další sady podmínek include.

  3. Volitelně můžete přidat sady podmínek vyloučení.

    # Retrieve the service principal for the Azure Management API
$azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"

# Exclude delegated permissions for the Azure Management API
New-MgPolicyPermissionGrantPolicyExclude `
    -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
    -PermissionType "delegated" `
    -ResourceApplication $azureApi.AppId

    Tento krok opakujte, pokud chcete přidat další sady podmínek vyloučení.

Po vytvoření zásad souhlasu aplikace pro skupinu můžete vlastníkům skupin povolit souhlas s touto zásadou.

  1. Následující informace ukazují, jak odstranit vlastní zásady souhlasu vlastníka skupiny.

    Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"

Pokud chcete spravovat zásady souhlasu vlastníka skupiny, přihlaste se k Graph Exploreru pomocí jedné z rolí uvedených v části Požadavky. Musíte také udělit souhlas s oprávněním Policy.ReadWrite.PermissionGrant .

Zjistěte, jak ověřit, jestli je nastavení souhlasu vlastníka skupiny autorizované jinými způsoby.

  1. Načtení aktuální hodnoty zásady

    GET /policies/authorizationPolicy

    Pokud ManagePermissionGrantPoliciesForOwnedResource se zobrazí, je možné, že nastavení souhlasu vlastníka skupiny bylo autorizované jinými způsoby.

  2. Zkontrolujte, jestli je zásada vymezená na group

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }

    Pokud resourceScopeType == groupje nastavení souhlasu vlastníka skupiny autorizované jinými způsoby. Kromě toho platí, že pokud byly přiřazeny microsoft-pre-approval-apps-for-groupzásady souhlasu aplikace pro skupiny, znamená to, že je pro vašeho tenanta povolená funkce předběžného schválení.

Je vhodné začít seznámením se stávajícími zásadami souhlasu vlastníka skupiny ve vaší organizaci:

  1. Výpis všech zásad souhlasu aplikace:

    GET /policies/permissionGrantPolicies

  2. Zobrazení sad podmínek include zásady:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes

  3. Zobrazení sad podmínek pro vyloučení:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes

Pokud chcete vytvořit vlastní zásadu souhlasu vlastníka skupiny, postupujte takto:

  1. Vytvořte novou prázdnou zásadu souhlasu vlastníka skupiny.

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies

{
  "id": "my-custom-app-consent-policy-for-group",
  "displayName": "My first custom app consent policy for group",
  "description": "This is a sample custom app consent policy for group",
  "includeAllPreApprovedApplications": false,
  "resourceScopeType": "group"
}

  2. Přidejte sady podmínek "include".

    Zahrnout delegovaná oprávnění klasifikovaná jako nízká pro aplikace od ověřených vydavatelů

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes

{
  "permissionType": "delegated",
  "permissionClassification": "low",
  "clientApplicationsFromVerifiedPublisherOnly": true
}

    Opakujte tento krok a přidejte další sady podmínek include.

  3. Volitelně můžete přidat sady podmínek vyloučení. Vyloučení delegovaných oprávnění pro rozhraní API pro správu Azure (appId 00001111-aaaa-2222-bbbb-3333cccc4444)

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes

{
  "permissionType": "delegated",
  "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 "
}

    Tento krok opakujte, pokud chcete přidat další sady podmínek vyloučení.

Po vytvoření zásady souhlasu vlastníka skupiny můžete vlastníkům skupiny povolit souhlas s touto zásadou.

  1. Následující informace ukazují, jak odstranit vlastní zásady souhlasu vlastníka skupiny.

    DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy

Upozorňující

Odstraněné zásady souhlasu vlastníka skupiny nelze obnovit. Pokud omylem odstraníte vlastní zásady souhlasu vlastníka skupiny, budete muset zásadu znovu vytvořit.

Podporované podmínky

Následující tabulka obsahuje seznam podporovaných podmínek pro zásady souhlasu vlastníka skupiny.

Podmínka Popis
PermissionClassification Klasifikace oprávnění pro udělené oprávnění nebo "vše" odpovídající jakékoli klasifikaci oprávnění (včetně oprávnění, která nejsou klasifikovaná). Výchozí hodnota je vše.
Typ oprávnění Typ oprávnění uděleného oprávnění. Pro oprávnění aplikace (například role aplikací) nebo delegovaná oprávnění použijte "aplikaci".

Poznámka: Hodnota "delegatedUserConsentable" označuje delegovaná oprávnění, která vydavatel rozhraní API nenakonfiguroval tak, aby vyžadoval souhlas správce. Tuto hodnotu je možné použít v předdefinovaných zásadách udělení oprávnění, ale nedá se použít ve vlastních zásadách udělení oprávnění. Povinný:
ResourceApplication AppId aplikace prostředků (například rozhraní API), pro které se uděluje oprávnění, nebo "jakýkoli" odpovídající aplikaci prostředků nebo rozhraní API. Výchozí hodnota je any.
Oprávnění Seznam IDoprávněních Výchozí hodnota je jedna hodnota "all".
– ID delegovaných oprávnění najdete ve vlastnosti OAuth2Permissions objektu ServicePrincipal rozhraní API.
– ID oprávnění aplikace lze najít ve vlastnosti AppRoles objektu ServicePrincipal rozhraní API.
ClientApplicationIds Seznam hodnot AppId pro klientské aplikace, které se mají shodovat, nebo seznam s jedinou hodnotou "all" odpovídající libovolné klientské aplikaci. Výchozí hodnota je jedna hodnota "all".
ClientApplicationTenantIds Seznam ID tenanta Microsoft Entra, ve kterých je klientská aplikace zaregistrovaná, nebo seznam s jedinou hodnotou "all", která odpovídá klientským aplikacím registrovaným v libovolném tenantovi. Výchozí hodnota je jedna hodnota "all".
ClientApplicationPublisherIds Seznam ID programu Microsoft Partner Network (MPN) pro ověřené vydavatele klientské aplikace nebo seznam s jednou hodnotou "all" (vše) odpovídající klientským aplikacím od libovolného vydavatele. Výchozí hodnota je jedna hodnota "all".
ClientApplicationsFromVerifiedPublisherOnly Tento přepínač nastavte tak, aby odpovídal pouze klientským aplikacím s ověřenými vydavateli. Zakažte tento přepínač (-ClientApplicationsFromVerifiedPublisherOnly:$false) tak, aby odpovídal v libovolné klientské aplikaci, i když nemá ověřeného vydavatele. Výchozí hodnota je $false.

Upozorňující

Odstraněné zásady souhlasu vlastníka skupiny nelze obnovit. Pokud omylem odstraníte vlastní zásady souhlasu vlastníka skupiny, budete muset zásadu znovu vytvořit.

Pokud chcete získat nápovědu nebo najít odpovědi na své otázky: