Consentement propre à la ressource (RSC)Resource-specific consent (RSC)

Important

Ces API sont accessibles dans le https://graph.microsoft.com/beta point de terminaison.These APIs are accessible in the https://graph.microsoft.com/beta endpoint. Le point de terminaison de la version bêta inclut des API qui sont actuellement en préversion et qui ne sont pas encore généralement disponibles.The beta version endpoint includes APIs that are currently in preview and are not yet generally available. Les API dans le point de terminaison bêta peuvent faire l’objet de modifications et nous vous déconseillons de les utiliser dans vos applications de production.The APIs in the beta endpoint are subject to change and we don't recommend that you use them in your production apps.

Le consentement propre à la ressource (RSC) est une intégration de Microsoft teams et Graph API qui permet à votre application d’utiliser des points de terminaison d’API pour gérer des équipes spécifiques au sein d’une organisation.Resource-specific consent (RSC) is a Microsoft Teams and Graph API integration that enables your app to use API endpoints to manage specific teams within an organization. Le modèle d’autorisations RSC (Resource Specification) permet aux propriétaires d’équipe d’accorder le consentement d’une application pour accéder à des données d’une équipe et/ou les modifier.The resource-specific consent (RSC) permissions model enables team owners to grant consent for an application to access and/or modify a team's data. Les autorisations de RSC granulaire spécifiques aux équipes définissent ce qu’une application peut faire dans une équipe spécifique :The granular, Teams-specific, RSC permissions define what an application can do within a specific team:

Autorisations propres aux ressourcesResource-specific permissions

Autorisation de l’applicationApplication permission ActionAction
TeamSettings.Read.GroupTeamSettings.Read.Group Obtenir les paramètres de cette équipe.Get the settings for this team.
TeamSettings. Edit. GroupTeamSettings.Edit.Group Mettre à jour les paramètres de cette équipe.Update the settings for this team.
ChannelSettings.Read.GroupChannelSettings.Read.Group Obtenir les noms de canal, les descriptions de canal et les paramètres de canal de cette équipe.Get the channel names, channel descriptions, and channel settings for this team.
ChannelSettings. ReadWrite. GroupChannelSettings.ReadWrite.Group Mettre à jour les noms de canaux, les descriptions de canal et les paramètres de canal de cette équipe.Update the channel names, channel descriptions, and channel settings for this team.
Channel.Create.GroupChannel.Create.Group Créer des canaux au sein de cette équipe.Create channels in this team.
Channel.Delete.GroupChannel.Delete.Group Supprimer des canaux dans cette équipe.Delete channels in this team.
ChannelMessage.Read.GroupChannelMessage.Read.Group Obtenir les messages du canal de cette équipe.Get this team's channel messages.
TeamsApp.Read.GroupTeamsApp.Read.Group Obtenir la liste des applications installées de cette équipe.Get a list of this team's installed apps.
TeamsTab.Read.GroupTeamsTab.Read.Group Obtenir la liste des onglets de cette équipe.Get a list of this team's tabs.
TeamsTab.Create.GroupTeamsTab.Create.Group Créer des onglets au sein cette équipe.Create tabs in this team.
Teamstab.. ReadWrite. GroupTeamsTab.ReadWrite.Group Mettre à jour les onglets de cette équipe.Update this team's tabs.
TeamsTab.Delete.GroupTeamsTab.Delete.Group Supprimer les onglets de cette équipe.Delete this team's tabs.
Member.Read.GroupMember.Read.Group Obtenir les membres de cette équipe.Get this team's members.
Owner.Read.GroupOwner.Read.Group Obtenir les propriétaires de cette équipe.Get this team's owners.

Notes

Les autorisations propres aux ressources ne sont disponibles que pour les applications teams installées sur le client teams et qui ne font actuellement pas partie du portail Azure Active Directory.Resource-specific permissions are only available to Teams apps installed on the Teams client and are currently not part of the Azure Active Directory portal.

Les étapes à suivre pour activer RSC dans votre application sont les suivantes :The steps for enabling RSC in your application are as follows:

  1. Configurez les paramètres de consentement du propriétaire du groupe dans le portail Azure Active Directory.Configure group owner consent settings in the Azure Active Directory portal.
  2. Enregistrez votre application avec Microsoft Identity Platform via le portail Azure ad.Register your app with Microsoft identity platform via the Azure AD portal.
  3. Vérifier les autorisations de votre application dans le portail Azure ADReview your application permissions in the Azure AD portal
  4. Obtenir un jeton d’accès à partir de la plateforme d’identité Microsoft.Obtain an access token from the Microsoft Identity platform.
  5. Mettez à jour le manifeste d’application de teams.Update your Teams app manifest.
  6. Installez votre application directement dans teams.Install your app directly in Teams.
  7. Vérifiez que votre application dispose des autorisations RSC ajoutées.Check your app for added RSC permissions.

Vous pouvez activer ou désactiver le consentement du propriétaire de groupe directement dans le portail Azure :You can enable or disable group owner consent directly within the Azure portal:

  • Connectez-vous au portail Azure en tant qu’administrateur général /administrateur de société.Sign in to the Azure portal as a Global Administrator/Company Administrator.
  • Sélectionnez Azure Active Directory => Enterprise applications => paramètres utilisateurdes applications d’entreprise Azure Active Directory.Select Azure Active Directory =>Enterprise applications =>User settings.
  • Activer, désactiver ou limiter le consentement de l’utilisateur avec le contrôle étiqueté les utilisateurs peuvent consentir aux applications d’accéder aux données de l’entreprise pour les groupes qu’ils possèdent (cette fonctionnalité est activée par défaut).Enable, disable, or limit user consent with the control labeled Users can consent to apps accessing company data for the groups they own (This capability is enabled by default).

configuration de RSC Azure

ValeurValue DescriptionDescription
OuiYes Activer le consentement propre au groupe pour tous les propriétaires de groupe.Enable group-specific consent for all group owners.
NonNo Désactivez le consentement propre au groupe pour tous les utilisateurs.Disable group-specific consent for all users.
PeuLimited Activer le consentement propre au groupe pour les membres d’un groupe sélectionné.Enable group-specific consent for members of a selected group.

Pour activer ou désactiver le consentement du propriétaire d’un groupe dans le portail Azure à l’aide de PowerShell, suivez les étapes décrites dans configurer le consentement du propriétaire du groupe à l’aide de PowerShell.To enable or disable group owner consent within the Azure portal using PowerShell, follow the steps outlined in Configure group owner consent using PowerShell.

Enregistrer votre application avec Microsoft Identity Platform via le portail Azure ADRegister your app with Microsoft identity platform via the Azure AD portal

Le portail Azure Active Directory fournit une plateforme centrale pour vous inscrire et configurer vos applications.The Azure Active Directory portal provides a central platform for you to register and configure your apps. Votre application doit être enregistrée dans le portail Azure AD pour être intégrée à la plateforme d’identité Microsoft et aux API Graph de l’appel.Your app must be registered in the Azure AD portal to integrate with the Microsoft identity platform and call Graph APIs. Consultez la rubrique enregistrer une application avec la plateforme d’identité Microsoft.See Register an application with the Microsoft identity platform.

Avertissement

N’enregistrez pas plusieurs applications teams sur le même ID d’application Azure AD. L’ID de l’application doit être unique pour chaque application.Do not register multiple Teams apps to the same Azure AD app id. The app id must be unique for each app. Les tentatives d’installation de plusieurs applications sur le même ID d’application échouent.Attempts to install multiple apps to the same app id will fail.

Vérifier les autorisations de votre application dans le portail Azure ADReview your application permissions in the Azure AD portal

Accédez à la Home => pageinscriptions des applications personnelles et sélectionnez votre application RSC.Navigate to the Home => App registrations page and select your RSC app. Sélectionnez autorisations d’API dans la barre de navigation de gauche et examinez la liste des autorisations configurées pour votre application.Choose API permissions from the left nav bar and examine the list of configured permissions for your app. Si votre application effectue uniquement des appels de graphique RSC, supprimez toutes les autorisations sur cette page.If your app will only make RSC Graph calls, delete all the permission on that page. Si votre application effectue également des appels non RSC, conservez ces autorisations autant que nécessaire.If your app will also make non-RSC calls, keep those permissions as needed.

Important

Le portail Azure AD ne peut pas être utilisé pour demander des autorisations RSC.The Azure AD portal cannot be used to request RSC permissions. Les autorisations RSC sont actuellement exclusives aux applications teams installées dans le client teams et déclarées dans le fichier de manifeste de l’application (JSON).RSC permissions are currently exclusive to Teams applications installed in the Teams client and are declared in the app manifest (JSON) file.

Obtenir un jeton d’accès à partir de la plateforme d’identité MicrosoftObtain an access token from the Microsoft identity platform

Pour effectuer des appels d’API Graph, vous devez obtenir un jeton d’accès pour votre application à partir de la plateforme d’identité.To make Graph API calls, you must obtain an access token for your app from the identity platform. Pour que votre application puisse obtenir un jeton à partir de la plateforme d’identité Microsoft, elle doit être enregistrée dans le portail Azure AD.Before your app can get a token from the Microsoft identity platform, it must be registered in the Azure AD portal. Le jeton d’accès contient des informations sur votre application et les autorisations dont elle dispose pour les ressources et les API disponibles via Microsoft Graph.The access token contains information about your app and the permissions it has for the resources and APIs available through Microsoft Graph.

Vous devez avoir les valeurs suivantes du processus d’inscription Azure AD pour récupérer un jeton d’accès à partir de la plateforme d’identité :You'll need to have the following values from the Azure AD registration process to retrieve an access token from the identity platform:

  • ID de l' application affecté par le portail d’inscription des applications.The Application ID assigned by the app registration portal. Si votre application prend en charge l’authentification unique (SSO), vous devez utiliser le même ID d’application pour votre application et votre authentification unique.If your app supports single sign-on (SSO) you should use the same Application ID for your app and SSO.
  • La clé secrète ou le mot de passe du client ou une paire de clés publique/privée (certificat).The Client secret/password or a public/private key pair (Certificate). N’est pas nécessaire pour les applications natives.This is not required for native apps.
  • Un URI de redirection (ou URL de réponse) pour que votre application reçoive des réponses d’Azure ad.A Redirect URI (or reply URL) for your app to receive responses from Azure AD.

Voir obtenir l’accès de la part d’un utilisateur et obtenir l’accès sans utilisateurSee Get access on behalf of a user and Get access without a user

Mettre à jour le manifeste d’application de teamsUpdate your Teams app manifest

Les autorisations RSC sont déclarées dans votre fichier de manifeste d’application (JSON).The RSC permissions are declared in your app manifest (JSON) file. Ajoutez une clé webApplicationInfo à votre manifeste d’application avec les valeurs suivantes :Add a webApplicationInfo key to your app manifest with the following values:

Important

Les autorisations non RSC sont stockées dans le portail Azure.Non-RSC permissions are stored in the Azure portal. Ne les ajoutez pas au manifeste de l’application.Do not add them to the app manifest.

"webApplicationInfo": {
    "id": "XXxxXXXXX-XxXX-xXXX-XXxx-XXXXXXXxxxXX",
    "resource": "https://RscBasedStoreApp",
    "applicationPermissions": [
      "TeamSettings.Read.Group",
      "ChannelMessage.Read.Group",
      "TeamSettings.Edit.Group",
      "ChannelSettings.ReadWrite.Group",
      "Channel.Create.Group",
      "Channel.Delete.Group",
      "TeamsApp.Read.Group",
      "TeamsTab.Read.Group",
      "TeamsTab.Create.Group",
      "TeamsTab.ReadWrite.Group",
      "TeamsTab.Delete.Group",
      "Member.Read.Group",
      "Owner.Read.Group"
    ]
  }

Installer votre application directement dans teamsInstall your app directly in Teams

Une fois que vous avez créé votre application, vous pouvez charger votre package d’application directement dans une équipe spécifique.Once you've created your app you can upload your app package directly to a specific team. Pour ce faire, le paramètre de stratégie charger des applications personnalisées doit être activé dans le cadre des stratégies de configuration d’application personnalisées.To do so, the Upload custom apps policy setting must be enabled as part of the custom app setup policies. Voir paramètres de stratégie d’application personnalisée.See Custom app policy settings.

Vérifiez si votre application dispose d’autorisations RSC ajoutéesCheck your app for added RSC permissions

Important

Les autorisations RSC ne sont pas attribuées à un utilisateur.The RSC permissions are not attributed to a user. Les appels sont effectués avec des autorisations d’application, et non avec des autorisations déléguées par l’utilisateur.Calls are made with app permissions, not user delegated permissions. Par conséquent, l’application peut être autorisée à effectuer des actions que l’utilisateur ne peut pas, comme la création d’un canal ou la suppression d’un onglet. Vous devez examiner l’intention du propriétaire de l’équipe pour votre cas d’utilisation avant d’effectuer des appels d’API RSC.Thus, the app may be allowed to perform actions that the user cannot, such as creating a channel or deleting a tab. You should review the team owner's intent for your use case prior to making RSC API calls. Consultez la rubrique vue d’ensemble de l’API Microsoft teams.See Microsoft Teams API overview.

Une fois que l’application a été installée dans une équipe, vous pouvez utiliser l’afficheur Graph pour afficher les autorisations qui ont été accordées à l’application dans une équipe :Once the app has been installed to a team, you can use Graph Explorer to view the permissions that have been granted to the app in a team:

  • Obtenir le GroupID de l’équipe à partir du client Teams.Get the team's groupId from the Teams client.
  • Dans le client Teams, sélectionnez teams dans la barre de navigation la plus à gauche.In the Teams client, select Teams from the far left nav bar.
  • Dans le menu déroulant, sélectionnez l’équipe où l’application est installée.Select the team where the app is installed from the drop-down menu.
  • Sélectionnez l’icône autres options (⋯).Select the More options icon (⋯).
  • Sélectionnez obtenir un lien vers une équipe.Select Get link to team.
  • Copiez et enregistrez la valeur GroupID à partir de la chaîne.Copy and save the groupId value from the string.
  • Connectez-vous à l’afficheur Graph.Log into Graph Explorer.
  • Effectuer un appel Get vers le point de terminaison suivant : https://graph.microsoft.com/beta/groups/{teamGroupId}/permissionGrants .Make a GET call to the following endpoint: https://graph.microsoft.com/beta/groups/{teamGroupId}/permissionGrants. Le champ clientAppId dans la réponse est mappé sur l’appId spécifié dans le manifeste de l’application Teams.The clientAppId field in the response will map to the appId specified in the Teams app manifest. Réponse de l’Explorateur Graph pour obtenir un appel.Graph explorer response to GET call.