Compartir a través de

Configurar el consentimiento del propietario del grupo y del equipo a las aplicaciones

  • Artículo

En este artículo, aprenderá a configurar la forma en que los propietarios de grupos y equipos dan su consentimiento a las aplicaciones y a deshabilitar todas las operaciones futuras de consentimiento de los propietarios de grupos y equipos a las aplicaciones.

Los propietarios de grupos y equipos pueden dar permiso a aplicaciones tales como las aplicaciones que publican otros proveedores, para obtener acceso a los datos de la organización asociados al grupo. Por ejemplo, el propietario de un equipo de Microsoft Teams puede permitir que una aplicación lea todos los mensajes de Teams del equipo o bien mostrar el perfil básico de los miembros de un grupo. Consulte Consentimiento específico de recursos en Microsoft Teams para obtener más información.

El consentimiento del propietario del grupo se puede administrar de dos maneras independientes: mediante centro de administración de Microsoft Entra y la creación de directivas de consentimiento de aplicaciones. En el centro de administración de Microsoft Entra, puede habilitar el propietario de todos los grupos, habilitar el propietario del grupo seleccionado o deshabilitar la capacidad de los propietarios del grupo para dar su consentimiento a las aplicaciones. Por otro lado, las directivas de consentimiento de aplicaciones le habilitan especificar qué directiva de consentimiento de aplicaciones rige el consentimiento del propietario del grupo para las aplicaciones. A continuación, podrá asignar una directiva integrada de Microsoft o crear su propia directiva personalizada para administrar de manera eficaz el proceso de consentimiento de los propietarios de grupos.

Antes de crear la directiva de consentimiento de aplicaciones para administrar el consentimiento del propietario del grupo, debe deshabilitar la configuración del consentimiento del propietario del grupo mediante el centro de administración de Microsoft Entra. Si se deshabilita esta opción, el propietario del grupo podrá dar su consentimiento de acuerdo con las directivas de consentimiento de la aplicación. Puede obtener información sobre cómo deshabilitar la configuración de consentimiento del propietario del grupo de varias maneras en este artículo. Obtenga más información sobre la administración del consentimiento del propietario del grupo aplicando directivas de consentimiento adaptadas a sus necesidades.

Requisitos previos

Para configurar el consentimiento del propietario del grupo y del equipo, necesita:

Puede configurar qué usuarios están autorizados a consentir que las aplicaciones accedan a los datos de sus grupos o equipos, o puede deshabilitar la configuración para todos los usuarios.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para configurar los ajustes de consentimiento del propietario del grupo y del equipo a través del Centro de administración de Microsoft Entra:

Siga estos pasos para administrar el consentimiento del propietario del grupo para que las aplicaciones puedan obtener acceso a los datos del grupo:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
  2. Vaya a la configuración de Identidad>Aplicaciones>Aplicaciones empresariales>Consentimiento y permisos>Configuración de consentimiento del usuario.
  3. En Consentimiento del propietario del grupo para las aplicaciones que acceden a los datos, seleccione la opción que desea habilitar.
  4. Haga clic en Guardar para guardar la configuración.

En este ejemplo, todos los propietarios de grupos pueden dar su consentimiento a las aplicaciones que acceden a los datos de sus grupos:

Configuración del consentimiento del propietario del grupo

Puede usar el módulo Microsoft Graph PowerShell para habilitar o deshabilitar la capacidad de los propietarios de grupos para consentir que las aplicaciones accedan a los datos de su organización para los grupos que poseen. Los cmdlets de esta sección forman parte del módulo Microsoft.Graph.Identity.SignIns.

Conéctese a Microsoft Graph PowerShell e inicie sesión como mínimo unAdministrador de roles con privilegios. Para leer la configuración de consentimiento del usuario actual, use el permiso de Policy.Read.All. Para leer y cambiar la configuración de consentimiento del usuario, use el permiso de Policy.ReadWrite.Authorization.

  1. Cambie el perfil a beta mediante el comando Select-MgProfile.

    Select-MgProfile -Name "beta"

  2. Uso del permiso con privilegios mínimos

    Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

# If you need to create a new setting based on the templates, please use this permission
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

Recuperación de la configuración actual mediante PowerShell de Microsoft Graph

Recupere el valor actual para la configuración del directorio Consent Policy Settings del inquilino. Esto requiere comprobar si se ha creado la configuración del directorio para esta característica y, si no es así, usar los valores de la correspondiente plantilla de configuración de directorio.

$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }

if (-not $settings) {
    $template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
    $body = @{
                "templateId" = $template.Id
                "values" = @(
                    @{
                        "name" = "EnableGroupSpecificConsent"
                        "value" = $true
                    },
                    @{
                        "name" = "BlockUserConsentForRiskyApps"
                        "value" = $true
                    },
                    @{
                        "name" = "EnableAdminConsentRequests"
                        "value" = $true
                    },
                    @{
                        "name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                        "value" = ""
                    }
                )
    }
    $settings = New-MgDirectorySetting -BodyParameter $body
}

$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }

Descripción de los valores de configuración en Microsoft Graph

Hay dos valores de configuración que definen qué usuarios podrán permitir que una aplicación acceda a los datos de su grupo:

Configuración Tipo Descripción
EnableGroupSpecificConsent Boolean Marca que indica si los propietarios de los grupos pueden conceder permisos específicos del grupo.
ConstrainGroupSpecificConsentToMembersOfGroupId Guid Si EnableGroupSpecificConsent se establece en "True" y este valor se establece en el identificador de objeto de un grupo, los miembros del grupo identificado estarán autorizados a conceder permisos específicos de grupo a los grupos que poseen.

Actualización de los valores de configuración para la configuración deseada mediante PowerShell de Microsoft Graph

# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""

# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""

# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"

Guardado de la configuración mediante PowerShell de Microsoft Graph


```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values

Para administrar la configuración del consentimiento del propietario del grupo y del equipo a través de la configuración del directorio mediante Graph Explorer:

Debe iniciar sesión como Administrador de roles con privilegios. Para leer la configuración de consentimiento del usuario actual, consienta al permiso de Policy.Read.All. Para leer y cambiar la configuración de consentimiento del usuario, consienta al permiso de Policy.ReadWrite.Authorization.

Recuperación de la configuración actual mediante Microsoft Graph API

Recupere el valor actual de la Configuración de directiva de consentimiento del Centro de administración Microsoft Entra de su inquilino. Esto requiere comprobar si se han creado las configuraciones de directorio para esta función y, en caso contrario, utilizar la segunda llamada a Microsoft Graph para crear las configuraciones de directorio correspondientes.

GET https://graph.microsoft.com/beta/settings

Respuesta

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": [
        {
            "id": "{ directorySettingId }",
            "displayName": "Consent Policy Settings",
            "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
            "values": [
            {
                    "name": "EnableGroupSpecificConsent",
                    "value": "true"
                },
                {
                    "name": "BlockUserConsentForRiskyApps",
                    "value": "true"
                },
                {
                    "name": "EnableAdminConsentRequests",
                    "value": "true"
                },
                {
                    "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
                    "value": ""
                }
            ]
        }
    ]
}

cree la configuración del directorio correspondiente si value está vacío (vea a continuación como ejemplo).

GET https://graph.microsoft.com/beta/settings

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": []
}

POST https://graph.microsoft.com/beta/settings
{
    "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Descripción de los valores de configuración en Microsoft Graph API

Hay dos valores de configuración que definen qué usuarios podrán permitir que una aplicación acceda a los datos de su grupo:

Configuración Tipo Descripción
EnableGroupSpecificConsent Boolean Marca que indica si los propietarios de los grupos pueden conceder permisos específicos del grupo.
ConstrainGroupSpecificConsentToMembersOfGroupId Guid Si EnableGroupSpecificConsent se establece en "True" y este valor se establece en el identificador de objeto de un grupo, los miembros del grupo identificado estarán autorizados a conceder permisos específicos de grupo a los grupos que poseen.

Actualización de los valores de configuración para la configuración deseada mediante Microsoft Graph API

Reemplace {directorySettingId} por el identificador real de la value colección al recuperar la configuración actual

Deshabilitar el consentimiento específico del grupo por completo

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "false"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Habilitación del consentimiento específico del grupo para todos los usuarios

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Habilitación del consentimiento específico del grupo para los usuarios de un grupo determinado

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": "{group-object-id}"
        }
    ]
}

Nota:

El usuario puede consentir que las aplicaciones accedan a los datos de la empresa en su nombre, cuando está deshabilitado, no deshabilita la opción los Usuarios pueden consentir que las aplicaciones accedan a los datos de la empresa para los grupos de su propiedad.

Puede configurar qué usuarios pueden dar su consentimiento a las aplicaciones que acceden a los datos de sus grupos o equipos a través de directivas de consentimiento de aplicaciones. Para permitir el consentimiento del propietario del grupo a las directivas de consentimiento de la aplicación, la configuración del consentimiento del propietario del grupo debe estar deshabilitada. Una vez deshabilitada, la directiva actual se lee de las directivas de consentimiento de la aplicación.

Puede usar el módulo de PowerShell de Microsoft Graph para elegir la directiva de consentimiento de aplicaciones que rige el consentimiento del usuario para las aplicaciones. Los cmdlets que se usan aquí se incluyen en el módulo Microsoft.Graph.Identity.SignIns.

Conéctese a PowerShell de Microsoft Graph con un permiso con los privilegios mínimos necesarios. Para leer la configuración de consentimiento del usuario actual, use Policy.Read.All. Para leer y cambiar la configuración de consentimiento del usuario, use Policy.ReadWrite.Authorization. Debe iniciar sesión como Administrador de roles con privilegios.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

  1. Compruebe si ManagePermissionGrantPoliciesForOwnedResource tiene un ámbito en group.

    1. Recuperar el valor actual de la configuración de consentimiento del propietario del grupo.

        Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned

    Si ManagePermissionGrantPoliciesForOwnedResource se devuelve en PermissionGrantPoliciesAssigned, es posible que la configuración de consentimiento del propietario del grupo se haya regido por la directiva de consentimiento de la aplicación.

    1. Compruebe si la directiva tiene el ámbito de group.

        Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties

      SiresourceScopeType == group, la configuración del consentimiento del propietario del grupo se ha regido por la directiva de consentimiento de la aplicación.

  2. Para deshabilitar el consentimiento del propietario del grupo para usar las directivas de consentimiento de la aplicación, asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan la actual ManagePermissionGrantsForSelf.*directiva y otras directivas actualesManagePermissionGrantsForOwnedResource.* si las que no son aplicables a los grupos al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

    # only exclude policies that are scoped in group
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Para permitir el consentimiento del propietario del grupo sujeto a una directiva de consentimiento de la aplicación, elija qué directiva de consentimiento de aplicación debe controlar la autorización de los propietarios del grupo para conceder consentimiento a las aplicaciones. Asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan la directivaManagePermissionGrantsForSelf.* actual y otras ManagePermissionGrantsForOwnedResource.*directivas, si las hubiera, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Reemplace {app-consent-policy-id-for-group} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID Descripción
microsoft-pre-approval-apps-for-group Permitir el consentimiento del propietarios del grupo solo a aplicaciones aprobadas previamente
Permitir a los propietarios de grupos autorizar únicamente las aplicaciones aprobadas previamente por los administradores de los grupos de su propiedad.
microsoft-all-application-permissions-for-group Permitir el consentimiento del propietario del grupo para las aplicaciones
Esta opción permite a todos los propietarios de grupos dar su consentimiento a cualquier permiso que no requiera el consentimiento del administrador, para cualquier aplicación, en los grupos de su propiedad. Incluye aplicaciones que han sido aprobadas previamente por la directiva de concesión de permisos para el consentimiento específico del recurso de grupo.

Por ejemplo, para habilitar el consentimiento del propietario del grupo a la directiva microsoft-all-application-permissions-for-group, ejecute los comandos siguientes:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Use el Explorador de Graph para elegir qué directiva de consentimiento del propietario del grupo rige la capacidad de los propietarios del grupo de consentimiento del usuario para dar su consentimiento a las aplicaciones que acceden a los datos de la organización para los grupos que poseen.

  1. Compruebe si ManagePermissionGrantPoliciesForOwnedResource tiene un ámbito en group.

    1. Recuperar el valor actual de la configuración de consentimiento del propietario del grupo
    GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy

    Si ManagePermissionGrantsForOwnedResource se devuelve en permissionGrantPolicyIdsAssignedToDefaultUserRole, la configuración de consentimiento del propietario del grupo se ha regido por la directiva de consentimiento de la aplicación.

    2.Compruebe si la directiva tiene el ámbito de group.

    GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}

    SiresourceScopeType == group, la configuración del consentimiento del propietario del grupo se ha regido por la directiva de consentimiento de la aplicación.

  2. Para deshabilitar el consentimiento del propietario del grupo para usar las directivas de consentimiento de la aplicación, asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyen la directiva ManagePermissionGrantsForSelf.* actual y otras directivas ManagePermissionGrantsForOwnedResource.*actuales, si las hay, que no sean aplicables a los grupos. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

    PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy
{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}"
         ]
     }
 }

Para permitir el consentimiento del propietario del grupo sujeto a una directiva de consentimiento de la aplicación, elija qué directiva de consentimiento de aplicación debe controlar la autorización de los propietarios del grupo para conceder consentimiento a las aplicaciones. Asegúrese de que las directivas de consentimiento ( PermissionGrantPoliciesAssigned) incluyan la directiva actual ManagePermissionGrantsForSelf.* y otras directivas vigentesManagePermissionGrantsForOwnedResource.*, en caso de haberlas, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
   }
}

Reemplace {app-consent-policy-id-for-group} pel Id. de la directiva que desea aplicar a los grupos. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o puede elegir entre las siguientes directivas integradas:

Id Descripción
microsoft-pre-approval-apps-for-group Permitir el consentimiento del propietarios del grupo solo a aplicaciones aprobadas previamente
Permitir a los propietarios de grupos autorizar únicamente las aplicaciones aprobadas previamente por los administradores de los grupos de su propiedad.
microsoft-all-application-permissions-for-group Permitir el consentimiento del propietario del grupo para las aplicaciones
Esta opción permite a todos los propietarios de grupos dar su consentimiento a cualquier permiso que no requiera el consentimiento del administrador, para cualquier aplicación, en los grupos de su propiedad. Incluye aplicaciones que han sido aprobadas previamente por la directiva de concesión de permisos para el consentimiento específico del recurso de grupo.

Por ejemplo, para habilitar el consentimiento del usuario a la directiva integrada microsoft-pre-approval-apps-for-group, ejecute el siguiente comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
            "managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
        ]
    }
}

Pasos siguientes

Para obtener ayuda o encontrar respuestas a sus preguntas: