Configurar consentimento do proprietário do grupo para aplicativos

Os proprietários do grupo e da equipe podem autorizar que aplicativos, como aplicativos publicados por fornecedores terceirizados, acessem os dados da sua organização associados a um grupo. Por exemplo, um proprietário de equipe no Microsoft Teams pode permitir que um aplicativo leia todas as mensagens do Teams na equipe ou liste o perfil básico dos membros de um grupo. Consulte Consentimento específico de recursos no Microsoft Teams para saber mais.

Pré-requisitos

Para concluir as tarefas deste guia, você precisará do seguinte:

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
• A Função Administrador Global.
• Configurar o PowerShell do Azure AD. Ver o PowerShell do Azure AD

Configurar o consentimento do proprietário do grupo para aplicativos

Você pode configurar quais usuários têm permissão para consentir que os aplicativos acessem dados de seus grupos ou equipes ou pode desabilitar esse recurso.

Portal

Siga estas etapas para gerenciar o consentimento do proprietário do grupo para aplicativos que acessam dados do grupo:

1. Entre no portal do Azure como um Administrador Global.
2. Selecione Azure Active Directory>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.
3. Em Consentimento do proprietário do grupo em aplicativos que acessam dados, selecione a opção que deseja habilitar.
4. Selecione salvar para salvar suas configurações.

Neste exemplo, todos os proprietários de grupo têm permissão para dar consentimento aos aplicativos que acessam os dados de seus grupos:

PowerShell

Você pode usar o módulo de versão prévia do PowerShell do Azure AD, AzureADPreview, para habilitar ou desabilitar a capacidade dos proprietários do grupo de dar consentimento a aplicativos que acessam os dados da sua organização nos grupos que eles possuem.

1. Verifique se você está usando o módulo AzureADPreview. Esta etapa será importante se você tiver instalado os módulos AzureAD e AzureADPreview).

   Remove-Module AzureAD
   Import-Module AzureADPreview
   

2. Conecte-se ao Azure AD PowerShell.

   Connect-AzureAD
   

3. Recupere o valor atual das configurações do diretório Configurações de Política de Consentimento em seu locatário. Isso exige verificar se as configurações de diretório para esse recurso foram criadas e, se não, usar os valores do modelo de configurações de diretório correspondente.

   $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
   $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
   
   if (-not $settings) {
       $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId
       $settings = $template.CreateDirectorySetting()
   }
   
   $enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
   $limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }
   

4. Entenda os valores de configuração. Há dois valores de configurações que definem quais usuários podem permitir que um aplicativo acesse os dados do seu grupo:

   Configuração	Type	Descrição
   EnableGroupSpecificConsent	Boolean	Sinalizador que indica se os proprietários de grupos têm permissão para conceder permissões específicas do grupo.
   ConstrainGroupSpecificConsentToMembersOfGroupId	Guid	Se EnableGroupSpecificConsent for definido como "true" e esse valor for definido como a ID de objeto de um grupo, os membros do grupo identificado terão autorização para conceder permissões específicas do grupo aos grupos que eles possuem.

5. Atualize os valores das configurações para a configuração desejada:

   # Disable group-specific consent entirely
   $enabledValue.Value = "False"
   $limitedToValue.Value = ""
   

   # Enable group-specific consent for all users
   $enabledValue.Value = "True"
   $limitedToValue.Value = ""
   

   # Enable group-specific consent for users in a given group
   $enabledValue.Value = "True"
   $limitedToValue.Value = "{group-object-id}"
   

6. Salve suas configurações.

   if ($settings.Id) {
       # Update an existing directory settings
       Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings
   } else {
       # Create a new directory settings to override the default setting 
       New-AzureADDirectorySetting -DirectorySetting $settings
   }
   

Observação

A configuração "O usuário pode consentir que aplicativos acessem dados da empresa em seu nome", quando desativada, não desabilita a opção "Os usuários podem consentir que aplicativos acessem dados da empresa para grupos de sua propriedade"

Próximas etapas

Para saber mais:

• Configurar as configurações de consentimento do usuário
• Configurar o fluxo de trabalho de consentimento do administrador
• Saiba como gerenciar o consentimento em aplicativos e avaliar solicitações de consentimento
• Conceder consentimento de administrador em todo o locatário para um aplicativo
• Permissões e consentimento na plataforma de identidade da Microsoft

Para obter ajuda ou encontrar respostas às suas perguntas:

• Azure Active Directory no Microsoft QA