Ressourcenspezifische Zustimmung (RSC)Resource-specific consent (RSC)

Wichtig

Auf diese APIs kann im Endpunkt zugegriffen werden https://graph.microsoft.com/beta .These APIs are accessible in the https://graph.microsoft.com/beta endpoint. Der Beta Version -Endpunkt enthält APIs, die sich derzeit in der Vorschau befinden und noch nicht allgemein verfügbar sind.The beta version endpoint includes APIs that are currently in preview and are not yet generally available. Die APIs im Beta-Endpunkt können geändert werden, und es wird nicht empfohlen, dass Sie Sie in ihren Produktions-Apps verwenden.The APIs in the beta endpoint are subject to change and we don't recommend that you use them in your production apps.

Die ressourcenspezifische Zustimmung (RSC) ist eine Microsoft Teams-und Graph-API-Integration, die es Ihrer APP ermöglicht, API-Endpunkte zum Verwalten bestimmter Teams in einer Organisation zu verwenden.Resource-specific consent (RSC) is a Microsoft Teams and Graph API integration that enables your app to use API endpoints to manage specific teams within an organization. Mit dem Berechtigungsmodell für die ressourcenspezifische Zustimmung (RSC) können Teambesitzer einer Anwendung die Zustimmung erteilen, auf die Daten eines Teams zuzugreifen und/oder diese zu ändern.The resource-specific consent (RSC) permissions model enables team owners to grant consent for an application to access and/or modify a team's data. Die detaillierten, Teams-spezifischen RSC-Berechtigungen definieren, was eine Anwendung in einem bestimmten Team tun kann:The granular, Teams-specific, RSC permissions define what an application can do within a specific team:

Ressourcenspezifische BerechtigungenResource-specific permissions

AnwendungsberechtigungApplication permission AktionAction
TeamSettings.Read.GroupTeamSettings.Read.Group Rufen Sie die Einstellungen für dieses Team ab.Get the settings for this team.
TeamSettings. Edit. GroupTeamSettings.Edit.Group Aktualisieren Sie die Einstellungen für dieses Team.Update the settings for this team.
ChannelSettings.Read.GroupChannelSettings.Read.Group Rufen Sie die Kanalnamen, Kanal Beschreibungen und Kanaleinstellungen für dieses Team ab.Get the channel names, channel descriptions, and channel settings for this team.
ChannelSettings. ReadWrite. GroupChannelSettings.ReadWrite.Group Aktualisieren Sie die Kanalnamen, Kanal Beschreibungen und Kanaleinstellungen für dieses Team.Update the channel names, channel descriptions, and channel settings for this team.
Channel.Create.GroupChannel.Create.Group Erstellen von Kanälen in diesem Team.Create channels in this team.
Channel.Delete.GroupChannel.Delete.Group Löschen Sie Kanäle in diesem Team.Delete channels in this team.
ChannelMessage.Read.GroupChannelMessage.Read.Group Rufen Sie die Kanal Nachrichten dieses Teams ab.Get this team's channel messages.
TeamsApp.Read.GroupTeamsApp.Read.Group Rufen Sie eine Liste der installierten apps dieses Teams ab.Get a list of this team's installed apps.
TeamsTab.Read.GroupTeamsTab.Read.Group Rufen Sie eine Liste der Registerkarten dieses Teams ab.Get a list of this team's tabs.
TeamsTab.Create.GroupTeamsTab.Create.Group Erstellen von Registerkarten in diesem Team.Create tabs in this team.
TeamsTab. ReadWrite. GroupTeamsTab.ReadWrite.Group Aktualisieren Sie die Registerkarten dieses Teams.Update this team's tabs.
TeamsTab.Delete.GroupTeamsTab.Delete.Group Löschen der Registerkarten dieses Teams.Delete this team's tabs.
Member.Read.GroupMember.Read.Group Die Mitglieder dieses Teams abrufen.Get this team's members.
Owner.Read.GroupOwner.Read.Group Die Besitzer dieses Teams abrufen.Get this team's owners.

Hinweis

Ressourcenspezifische Berechtigungen stehen nur für Teams-Apps zur Verfügung, die auf dem Microsoft Teams-Client installiert sind und derzeit nicht Teil des Azure Active Directory-Portals sind.Resource-specific permissions are only available to Teams apps installed on the Teams client and are currently not part of the Azure Active Directory portal.

Die Schritte zum Aktivieren von RSC in Ihrer Anwendung lauten wie folgt:The steps for enabling RSC in your application are as follows:

  1. Konfigurieren Sie die Zustimmungs Einstellungen für den Gruppenbesitzer im Azure Active Directory-Portal.Configure group owner consent settings in the Azure Active Directory portal.
  2. Registrieren Sie Ihre APP mit der Microsoft Identity Platform über das Azure AD Portal.Register your app with Microsoft identity platform via the Azure AD portal.
  3. Überprüfen der Anwendungsberechtigungen im Azure AD PortalReview your application permissions in the Azure AD portal
  4. Rufen Sie ein Zugriffstoken von der Microsoft Identity-Plattform ab.Obtain an access token from the Microsoft Identity platform.
  5. Aktualisieren Sie Ihr Teams-App-Manifest.Update your Teams app manifest.
  6. Installieren Sie Ihre APP direkt in Microsoft Teams.Install your app directly in Teams.
  7. Überprüfen Sie Ihre APP auf hinzugefügte RSC-Berechtigungen.Check your app for added RSC permissions.

Sie können die Zustimmung des Gruppen Besitzers direkt im Azure-Portal aktivieren oder deaktivieren:You can enable or disable group owner consent directly within the Azure portal:

  • Melden Sie sich beim Azure-Portal als globaler Administrator/Unternehmensadministratoran.Sign in to the Azure portal as a Global Administrator/Company Administrator.
  • Wählen Sie Azure Active Directory => Benutzereinstellungen fürEnterprise => User settings-Anwendungen aus.Select Azure Active Directory =>Enterprise applications =>User settings.
  • Aktivieren, deaktivieren oder begrenzen der Benutzer Zustimmung mit dem Steuerelement mit der Bezeichnung Benutzer können apps, die auf Unternehmensdaten zugreifen, für die Gruppen, die Sie besitzen, einwilligen (diese Funktion ist standardmäßig aktiviert).Enable, disable, or limit user consent with the control labeled Users can consent to apps accessing company data for the groups they own (This capability is enabled by default).

Azure RSC-Konfiguration

WertValue BeschreibungDescription
JaYes Aktivieren Sie die gruppenspezifische Zustimmung für alle Gruppenbesitzer.Enable group-specific consent for all group owners.
NeinNo Deaktivieren Sie die gruppenspezifische Zustimmung für alle Benutzer.Disable group-specific consent for all users.
BeschränktLimited Aktivieren Sie die gruppenspezifische Zustimmung für Mitglieder einer ausgewählten Gruppe.Enable group-specific consent for members of a selected group.

Um die Zustimmung des Gruppen Besitzers innerhalb des Azure-Portals mithilfe von PowerShell zu aktivieren oder zu deaktivieren, führen Sie die unter configure Group Owner Einwilligung using PowerShellbeschriebenen Schritte aus.To enable or disable group owner consent within the Azure portal using PowerShell, follow the steps outlined in Configure group owner consent using PowerShell.

Registrieren Ihrer APP mit der Microsoft Identity Platform über das Azure AD PortalRegister your app with Microsoft identity platform via the Azure AD portal

Das Azure Active Directory-Portal stellt eine zentrale Plattform zum Registrieren und Konfigurieren Ihrer Apps bereit.The Azure Active Directory portal provides a central platform for you to register and configure your apps. Ihre APP muss im Azure AD-Portal registriert sein, damit Sie in die Microsoft Identity Platform und die Call Graph-APIs integriert werden kann.Your app must be registered in the Azure AD portal to integrate with the Microsoft identity platform and call Graph APIs. Weitere Informationen finden Sie unter Registrieren einer Anwendung mit der Microsoft Identity-Plattform.See Register an application with the Microsoft identity platform.

Warnung

Registrieren Sie mehrere Teams-apps nicht für dieselbe Azure AD App-ID. Die APP-ID muss für jede APP eindeutig sein.Do not register multiple Teams apps to the same Azure AD app id. The app id must be unique for each app. Versuche, mehrere apps in derselben APP-ID zu installieren, können nicht ausgeführt werden.Attempts to install multiple apps to the same app id will fail.

Überprüfen der Anwendungsberechtigungen im Azure AD PortalReview your application permissions in the Azure AD portal

Navigieren Sie zur Seite Home => App Registrations , und wählen Sie Ihre RSC-App aus.Navigate to the Home => App registrations page and select your RSC app. Wählen Sie in der linken Navigationsleiste API-Berechtigungen aus, und überprüfen Sie die Liste der konfigurierten Berechtigungen für Ihre APP.Choose API permissions from the left nav bar and examine the list of configured permissions for your app. Wenn Ihre APP nur RSC-Grafik Anrufe tätigen kann, löschen Sie alle Berechtigungen auf dieser Seite.If your app will only make RSC Graph calls, delete all the permission on that page. Wenn Ihre APP auch nicht-RSC-Anrufe tätigen kann, behalten Sie diese Berechtigungen bei Bedarf.If your app will also make non-RSC calls, keep those permissions as needed.

Wichtig

Das Azure AD Portal kann nicht verwendet werden, um RSC-Berechtigungen anzufordern.The Azure AD portal cannot be used to request RSC permissions. RSC-Berechtigungen sind derzeit ausschließlich für Microsoft Teams-Anwendungen, die im Microsoft Teams-Client installiert sind, und werden in der APP-Manifestdatei (JSON) deklariert.RSC permissions are currently exclusive to Teams applications installed in the Teams client and are declared in the app manifest (JSON) file.

Abrufen eines Zugriffstokens von der Microsoft Identity-PlattformObtain an access token from the Microsoft identity platform

Um Graph-API-Aufrufe zu erstellen, müssen Sie ein Zugriffstoken für Ihre APP über die Identitäts Plattform abrufen.To make Graph API calls, you must obtain an access token for your app from the identity platform. Damit Ihre APP ein Token von der Microsoft Identity-Plattform erhalten kann, muss Sie im Azure AD Portal registriert sein.Before your app can get a token from the Microsoft identity platform, it must be registered in the Azure AD portal. Das Zugriffstoken enthält Informationen zu Ihrer App und die Berechtigungen, über die es für die Ressourcen und APIs verfügt, die über Microsoft Graph bereitgestellt werden.The access token contains information about your app and the permissions it has for the resources and APIs available through Microsoft Graph.

Sie benötigen die folgenden Werte aus dem Azure AD Registrierungsprozess, um ein Zugriffstoken von der Identitäts Plattform abzurufen:You'll need to have the following values from the Azure AD registration process to retrieve an access token from the identity platform:

  • Die Anwendungs-ID , die vom APP-Registrierungs Portal zugewiesen wird.The Application ID assigned by the app registration portal. Wenn Ihre APP einmaliges Anmelden (Single Sign-on, SSO) unterstützt, sollten Sie die gleiche Anwendungs-ID für Ihre APP und SSO verwenden.If your app supports single sign-on (SSO) you should use the same Application ID for your app and SSO.
  • Der geheime Client Schlüssel/das Kennwort oder ein öffentliches/privates Schlüsselpaar (Certificate).The Client secret/password or a public/private key pair (Certificate). Dies ist für systemeigene Apps nicht erforderlich.This is not required for native apps.
  • Eine Umleitungs-URI (oder Antwort-URL) für Ihre APP, um Antworten von Azure AD zu erhalten.A Redirect URI (or reply URL) for your app to receive responses from Azure AD.

Siehe Abrufen des Zugriffs im Namen eines Benutzers und Abrufen des Zugriffs ohne BenutzerSee Get access on behalf of a user and Get access without a user

Aktualisieren des Teams-App-ManifestsUpdate your Teams app manifest

Die RSC-Berechtigungen werden in Ihrer APP-Manifestdatei (JSON-Datei) deklariert.The RSC permissions are declared in your app manifest (JSON) file. Fügen Sie dem App-Manifest einen webApplicationInfo -Schlüssel mit den folgenden Werten hinzu:Add a webApplicationInfo key to your app manifest with the following values:

  • ID – ihre Azure AD App-ID. Weitere Informationen finden Sie unter Registrieren Ihrer APP im Azure AD-Portal.id — your Azure AD app id. See Register your app in the Azure AD portal.
  • Resource – eine beliebige Zeichenfolge.resource — any string. Dieses Feld hat keine Operation im RSC, muss jedoch hinzugefügt werden und einen Wert haben, um eine Fehlerantwort zu vermeiden. eine Zeichenfolge wird verwendet.This field has no operation in RSC, but must be added and have a value to avoid an error response; any string will do.
  • Anwendungsberechtigungen – RSC-Berechtigungen für Ihre APP.application permissions — RSC permissions for your app. Siehe ressourcenspezifische Berechtigungen.See Resource-specific Permissions.

Wichtig

Nicht-RSC-Berechtigungen werden im Azure-Portal gespeichert.Non-RSC permissions are stored in the Azure portal. Fügen Sie Sie nicht zum App-Manifest hinzu.Do not add them to the app manifest.

"webApplicationInfo": {
    "id": "XXxxXXXXX-XxXX-xXXX-XXxx-XXXXXXXxxxXX",
    "resource": "https://RscBasedStoreApp",
    "applicationPermissions": [
      "TeamSettings.Read.Group",
      "ChannelMessage.Read.Group",
      "TeamSettings.Edit.Group",
      "ChannelSettings.ReadWrite.Group",
      "Channel.Create.Group",
      "Channel.Delete.Group",
      "TeamsApp.Read.Group",
      "TeamsTab.Read.Group",
      "TeamsTab.Create.Group",
      "TeamsTab.ReadWrite.Group",
      "TeamsTab.Delete.Group",
      "Member.Read.Group",
      "Owner.Read.Group"
    ]
  }

Direkte Installation Ihrer APP in Microsoft TeamsInstall your app directly in Teams

Nachdem Sie Ihre APP erstellt haben, können Sie Ihr App-Paket direkt in ein bestimmtes Team hochladen.Once you've created your app you can upload your app package directly to a specific team. Hierzu muss die Richtlinieneinstellung benutzerdefinierte apps hochladen als Teil der benutzerdefinierten Richtlinien für die APP-Einrichtung aktiviert werden.To do so, the Upload custom apps policy setting must be enabled as part of the custom app setup policies. Siehe benutzerdefinierte App-Richtlinieneinstellungen.See Custom app policy settings.

Überprüfen Ihrer APP auf hinzugefügte RSC-BerechtigungenCheck your app for added RSC permissions

Wichtig

Die RSC-Berechtigungen werden keinem Benutzer zugeschrieben.The RSC permissions are not attributed to a user. Aufrufe werden mit App-Berechtigungen und nicht mit Benutzern Delegierten Berechtigungen durchgeführt.Calls are made with app permissions, not user delegated permissions. Daher kann die APP möglicherweise Aktionen durchführen, die der Benutzer nicht ausführen kann, beispielsweise das Erstellen eines Kanals oder das Löschen einer Registerkarte. Sie sollten die Absicht des Team Besitzers für Ihren Anwendungsfall vor dem Erstellen von RSC-API-aufrufen überprüfen.Thus, the app may be allowed to perform actions that the user cannot, such as creating a channel or deleting a tab. You should review the team owner's intent for your use case prior to making RSC API calls. Weitere Informationen finden Sie unter Übersicht über die Microsoft Teams-API.See Microsoft Teams API overview.

Nachdem die app in einem Team installiert wurde, können Sie den Graph-Explorer verwenden, um die Berechtigungen anzuzeigen, die der app in einem Team erteilt wurden:Once the app has been installed to a team, you can use Graph Explorer to view the permissions that have been granted to the app in a team:

  • Rufen Sie die Gruppen -Nr des Teams vom Microsoft Teams-Client ab.Get the team's groupId from the Teams client.
  • Wählen Sie im Microsoft Teams-Client die Option Teams von der ganz linken Navigationsleiste aus.In the Teams client, select Teams from the far left nav bar.
  • Wählen Sie im Dropdownmenü das Team aus, in dem die APP installiert ist.Select the team where the app is installed from the drop-down menu.
  • Klicken Sie auf das Symbol Weitere Optionen (⋯).Select the More options icon (⋯).
  • Wählen Sie Get Link to Teamaus.Select Get link to team.
  • Kopieren Sie den Wert der Gruppe , und speichern Sie ihn aus der Zeichenfolge.Copy and save the groupId value from the string.
  • Melden Sie sich beim Graph-Exploreran.Log into Graph Explorer.
  • Einen Get -Aufruf an den folgenden Endpunkt ausführen: https://graph.microsoft.com/beta/groups/{teamGroupId}/permissionGrants .Make a GET call to the following endpoint: https://graph.microsoft.com/beta/groups/{teamGroupId}/permissionGrants. Das clientAppId-Feld in der Antwort wird der im Microsoft Teams-App-Manifest angegebenen Anwendungs-ID zugeordnet.The clientAppId field in the response will map to the appId specified in the Teams app manifest. Graph-Explorer-Antwort zum Abrufen eines Anrufs.Graph explorer response to GET call.