Verwalten von App-Einwilligungsrichtlinien für Gruppenbesitzer*innen

App-Einwilligungsrichtlinien sind eine Möglichkeit, die Berechtigungen zu verwalten, die Apps für den Zugriff auf Daten in Ihrer Organisation haben. Damit können Sie steuern, in welche Apps Benutzer*innen einwilligen können, und sicherstellen, dass Apps bestimmte Kriterien erfüllen, bevor sie auf Daten zugreifen können. Diese Richtlinien helfen Organisationen dabei, die Kontrolle über ihre Daten zu behalten und sicherzustellen, dass nur vertrauenswürdige Apps auf sie zugreifen können.

In diesem Artikel erfahren Sie, wie Sie integrierte und benutzerdefinierte App-Einwilligungsrichtlinien verwalten können, um zu steuern, wann eine Einwilligung durch Gruppenbesitzer*innen erteilt werden kann.

Mit Microsoft Graph und Microsoft Graph PowerShell können Sie Einwilligungsrichtlinien für Gruppenbesitzer*innen anzeigen und verwalten.

Eine Einwilligungsrichtlinie für Gruppenbesitzer*innen besteht aus null oder mehreren „include“-Bedingungssätzen und null oder mehreren „exclude“-Bedingungssätzen. Damit ein Ereignis in einer Einwilligungsrichtlinie für Gruppenbesitzer*innen berücksichtigt wird, muss es mindestens einem „include“-Bedingungssatz und keinem „exclude“-Bedingungssätzen entsprechen.

Jeder Bedingungssatz besteht aus mehreren Bedingungen. Damit ein Ereignis einem Bedingungssatz entspricht, müssen alle Bedingungen im Satz erfüllt werden.

Einwilligungsrichtlinien für Gruppenbesitzer*innen, bei denen die ID mit „microsoft-“ beginnt, sind integrierte Richtlinien. Die Einwilligungsrichtlinien für Gruppenbesitzer*innen „microsoft-pre-approval-apps-for-group“ beschreibt beispielsweise die Bedingungen, unter denen die Gruppenbesitzer*innen Anwendungen aus der vorab vom Administrator bzw. der Administratorin genehmigten Liste ihre Einwilligung geben dürfen, auf Daten für die Gruppen, die sie besitzen, zuzugreifen. Integrierte Richtlinien können in benutzerdefinierten Verzeichnisrollen sowie zum Konfigurieren von Einstellungen für die Benutzereinwilligung verwendet, aber nicht bearbeitet oder gelöscht werden.

Voraussetzungen

• Ein Benutzer oder Dienst mit einer der folgenden Rollen:
  • Verzeichnisrolle „Globaler Administrator“
  • Verzeichnisrolle „Administrator für privilegierte Rollen“
  • Eine benutzerdefinierte Verzeichnisrolle mit den erforderlichen Berechtigungen zum Verwalten von Einwilligungsrichtlinien für Gruppenbesitzer*innen
  • Die Microsoft Graph-App-Rolle (Anwendungsberechtigung) „Policy.ReadWrite.PermissionGrant“ (beim Herstellen einer Verbindung als App oder Dienst)
• Damit sich Gruppenbesitzereinwilligungen App-Zustimmungsrichtlinien unterwerfen, muss die Einstellung für die Zustimmung durch den Gruppenbesitzer deaktiviert sein. Nach der Deaktivierung wird Ihre aktuelle Richtlinie aus der App-Einwilligungsrichtlinie gelesen. Informationen zum Deaktivieren der Einwilligung durch die Gruppenbesitzer*innen finden Sie unter Deaktivieren der Einstellung für die Einwilligung durch Gruppenbesitzer*innen.

Stellen Sie zum Verwalten von Einwilligungsrichtlinien für Gruppenbesitzer*innen für Anwendungen mit Microsoft Graph PowerShell eine Verbindung mit Microsoft Graph PowerShell her, und melden Sie sich mit einer der im Abschnitt „Voraussetzungen“ aufgeführten Rollen an. Sie müssen auch in die Berechtigung Policy.ReadWrite.PermissionGrant einwilligen.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Abrufen des aktuellen Werts für die Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von PowerShell

Erfahren Sie, wie Sie überprüfen können, ob die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert wurde.

1. Abrufen des aktuellen Werts für die Einstellung der Gruppenbesitzereinwilligung

     Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
   

   Wenn ManagePermissionGrantPoliciesForOwnedResource in PermissionGrantPoliciesAssigned zurückgegeben wird, wurde ihre Einstellung für die Einwilligung durch Gruppenbesitzer*innen möglicherweise auf andere Weise autorisiert.

2. Überprüfen Sie, ob die Richtlinie auf group beschränkt ist.

      Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
   

Wenn ResourceScopeType == group, wurde die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert. Wenn die App-Einwilligungsrichtlinie für Gruppen microsoft-pre-approval-apps-for-group zugewiesen wurde, bedeutet dies außerdem, dass das Vorabgenehmigungsfeature für Ihren Mandanten aktiviert ist.

Auflisten vorhandener Einwilligungsrichtlinien für Gruppenbesitzer*innen mithilfe von PowerShell

Es ist ratsam, sich mit den vorhandenen Einwilligungsrichtlinien für Gruppenbesitzer*innen in Ihrer Organisation vertraut zu machen:

1. Listen Sie alle Einwilligungsrichtlinien für Gruppenbesitzer*innen auf:

   Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description
   

2. Anzeigen der „include“-Bedingungssätze einer Richtlinie:

   Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
   

3. Anzeigen der „exclude“-Bedingungssätze:

   Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
   

Erstellen einer benutzerdefinierten Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von PowerShell

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen zu erstellen:

1. Erstellen Sie eine neue leere Einwilligungsrichtlinie für Gruppenbesitzer*innen.

   New-MgPolicyPermissionGrantPolicy `
       -Id "my-custom-app-consent-policy-for-group" `
       -DisplayName "My first custom app consent policy for group" `
       -Description "This is a sample custom app consent policy for group." `
       -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}
   

2. Fügen Sie „include“-Bedingungssätze hinzu.

   # Include delegated permissions classified "low", for apps from verified publishers
   New-MgPolicyPermissionGrantPolicyInclude `
       -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
       -PermissionType "delegated" `
       -PermissionClassification "low" `
       -ClientApplicationsFromVerifiedPublisherOnly
   

   Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „include“ hinzuzufügen.

3. Fügen Sie optional „exclude“-Bedingungssätze hinzu.

   # Retrieve the service principal for the Azure Management API
   $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"
   
   # Exclude delegated permissions for the Azure Management API
   New-MgPolicyPermissionGrantPolicyExclude `
       -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
       -PermissionType "delegated" `
       -ResourceApplication $azureApi.AppId
   

   Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „exclude“ hinzuzufügen.

Sobald die Richtlinie zur Einwilligung für die App für die Gruppe erstellt wurde, können Sie eine Einwilligung durch Gruppenbesitzer*innen zulassen, die dieser Richtlinie unterliegt.

Löschen einer benutzerdefinierten Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von PowerShell

1. Im Folgenden wird gezeigt, wie Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen löschen können.

   Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
   

Melden Sie sich mit einer der im Abschnitt „Voraussetzungen“ aufgeführten Rollen bei Graph-Tester an, um die Einwilligungsrichtlinien für Gruppenbesitzer*innen zu verwalten. Sie müssen auch in die Berechtigung Policy.ReadWrite.PermissionGrant einwilligen.

Abrufen des aktuellen Werts für die Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von Microsoft Graph

Erfahren Sie, wie Sie überprüfen können, ob die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert wurde.

1. Abrufen des aktuellen Richtlinienwerts

   GET /policies/authorizationPolicy
   

   Wenn ManagePermissionGrantPoliciesForOwnedResource angezeigt wird, wurde ihre Einstellung für die Einwilligung durch Gruppenbesitzer*innen möglicherweise auf andere Weise autorisiert.

2. Überprüfen, ob sich die Richtlinie auf den Bereich group bezieht

   GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }
   

   Wenn resourceScopeType == group, wurde die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert. Wenn die App-Einwilligungsrichtlinie für Gruppen microsoft-pre-approval-apps-for-group zugewiesen wurde, bedeutet dies außerdem, dass das Vorabgenehmigungsfeature für Ihren Mandanten aktiviert ist.

Auflisten vorhandener Einwilligungsrichtlinien für Gruppenbesitzer*innen mithilfe von Microsoft Graph

Es ist ratsam, sich mit den vorhandenen Einwilligungsrichtlinien für Gruppenbesitzer*innen in Ihrer Organisation vertraut zu machen:

1. Auflisten aller Richtlinien zur Einwilligung für die App:

   GET /policies/permissionGrantPolicies
   

2. Anzeigen der „include“-Bedingungssätze einer Richtlinie:

   GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes
   

3. Anzeigen der „exclude“-Bedingungssätze:

   GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
   

Erstellen einer benutzerdefinierten Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von Microsoft Graph

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen zu erstellen:

1. Erstellen Sie eine neue leere Einwilligungsrichtlinie für Gruppenbesitzer*innen.

   POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies
   
   {
     "id": "my-custom-app-consent-policy-for-group",
     "displayName": "My first custom app consent policy for group",
     "description": "This is a sample custom app consent policy for group",
     "includeAllPreApprovedApplications": false,
     "resourceScopeType": "group"
   }
   

2. Fügen Sie „include“-Bedingungssätze hinzu.

   Einschließen von als „niedrig“ klassifizierten delegierten Berechtigungen für Apps von verifizierten Herausgebern

   POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes
   
   {
     "permissionType": "delegated",
     "permissionClassification": "low",
     "clientApplicationsFromVerifiedPublisherOnly": true
   }
   

   Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „include“ hinzuzufügen.

3. Fügen Sie optional „exclude“-Bedingungssätze hinzu. Exclude delegated permissions for the Azure Management API (appId 46e6adf4-a9cf-4b60-9390-0ba6fb00bf6b)

   POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes
   
   {
     "permissionType": "delegated",
     "resourceApplication": "46e6adf4-a9cf-4b60-9390-0ba6fb00bf6b "
   }
   

   Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „exclude“ hinzuzufügen.

Sobald die Einwilligungsrichtlinie für Gruppenbesitzer*innen erstellt wurde, können Sie eine Einwilligung durch Gruppenbesitzer*innen zulassen, die dieser Richtlinie unterliegt.

Löschen einer benutzerdefinierten Einwilligungsrichtlinie für Gruppenbesitzer*innen mithilfe von Microsoft Graph

1. Im Folgenden wird gezeigt, wie Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen löschen können.

   DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
   

Warnung

Gelöschte Einwilligungsrichtlinien für Gruppenbesitzer*innen können nicht wiederhergestellt werden. Wenn Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen versehentlich löschen, müssen Sie diese erneut erstellen.

Unterstützte Bedingungen

Die folgende Tabelle enthält die Liste der unterstützten Bedingungen für Einwilligungsrichtlinien für Gruppenbesitzer*innen.

Bedingung	Beschreibung
PermissionClassification	Die Berechtigungsklassifizierung für die erteilte Berechtigung oder „all“ zum Abgleich mit jeder beliebigen Berechtigungsklassifizierung (einschließlich nicht klassifizierter Berechtigungen). Der Standardwert ist „all“.
PermissionType	Der Berechtigungstyp der erteilten Berechtigung. Verwenden Sie „Anwendung“ für Anwendungsberechtigungen (z. B. App-Rollen) oder „delegiert“ für delegierte Berechtigungen. Hinweis: Der Wert „delegatedUserConsentable“ gibt delegierte Berechtigungen an, die vom API-Herausgeber nicht zum Anfordern der Administratoreinwilligung konfiguriert wurden. Dieser Wert kann in integrierten Richtlinien zur Berechtigungszuweisung, aber nicht in benutzerdefinierten Richtlinien zur Berechtigungszuweisung verwendet werden. Erforderlich.
ResourceApplication	Die App-ID (AppId) der Ressourcenanwendung (z. B. die API), für die eine Berechtigung erteilt wird, oder „any“ zum Abgleich mit einer beliebigen Ressourcenanwendung oder API. Der Standardwert ist „any“.
Berechtigungen	Die Liste der Berechtigungs-IDs für die spezifischen Berechtigungen, mit denen abgeglichen werden soll, oder eine Liste mit dem einzelnen Wert „all“ für den Abgleich mit jeder beliebigen Berechtigung. Standard ist der einzelne Wert „all“. – IDs für delegierte Berechtigungen finden Sie in der Eigenschaft OAuth2Permissions des ServicePrincipal-Objekts der API. – IDs für Anwendungsberechtigungen finden Sie in der Eigenschaft AppRoles des ServicePrincipal-Objekts der API.
ClientApplicationIds	Eine Liste von AppId-Werten für die Clientanwendungen, mit denen abgeglichen werden soll, oder eine Liste mit dem einzelnen Wert „all“ zum Abgleichen einer beliebigen Clientanwendung. Standard ist der einzelne Wert „all“.
ClientApplicationTenantIds	Eine Liste der Microsoft Entra-Mandanten-IDs, in denen die Clientanwendung registriert ist, oder eine Liste mit dem einzelnen Wert „all“, die mit den in einem beliebigen Mandanten registrierten Client-Apps abgeglichen werden soll. Standard ist der einzelne Wert „all“.
ClientApplicationPublisherIds	Eine Liste von Microsoft Partner Network (MPN)-IDs für verifizierte Herausgeber der Clientanwendung, oder eine Liste mit dem einzelnen Wert „all“, die mit Client-Apps von jedem beliebigen Herausgeber abgeglichen werden soll. Standard ist der einzelne Wert „all“.
ClientApplicationsFromVerifiedPublisherOnly	Legen Sie diesen Wert fest, damit nur Clientanwendungen mit einem verifizierten Herausgeber abgeglichen werden. Deaktivieren Sie diesen Switch (-ClientApplicationsFromVerifiedPublisherOnly:$false), damit jede beliebige Client-App sogar dann abgeglichen wird, wenn es dafür keinen verifizierten Herausgeber gibt. Der Standardwert ist $false.

Warnung

Gelöschte Einwilligungsrichtlinien für Gruppenbesitzer*innen können nicht wiederhergestellt werden. Wenn Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen versehentlich löschen, müssen Sie diese erneut erstellen.

So erhalten Sie Hilfe oder finden Antworten auf Ihre Fragen:

• Microsoft Q&A zu Microsoft Entra ID in Microsoft