Préapprobation des autorisations RSC
la préapprobation des autorisations de consentement Resource-Specific (RSC) fournit aux administrateurs un contrôle granulaire sur les autorisations RSC qu’une application peut demander lors de l’installation. Les autorisations RSC sont accordées à une application au moment de son installation. Grâce à l’utilisation de stratégies de pré-approbation, les administrateurs peuvent déclarer à l’avance les autorisations maximales qu’une application peut demander à l’utilisateur final et être autorisée pendant l’installation.
Pour qu’une stratégie de pré-approbation d’autorisation RSC prenne effet pour une application, l’administrateur doit s’assurer que l’application est activée (installable) dans son organisation. Si l’application n’est pas installable, l’approbation préalable de l’autorisation pour cette application spécifique devient non pertinente. Pour plus d’informations sur l’activation des applications dans le Centre d’administration Teams, consultez Gestion des applications dans le Centre d’administration Teams.
Les administrateurs peuvent créer une stratégie de préapprobation détaillée, basée sur l’ID d’application, les autorisations et la sensibilité des données consultées. La pré-autorisation des autorisations RSC est conçue pour les administrateurs qui cherchent à créer des stratégies personnalisées avancées pour leur organisation.
Par défaut, les stratégies de préapprobation sont gérées par Microsoft et nous recommandons aux organisations de maintenir ManagedByMicrosoft l’état. Cet état permet à l’équipe de sécurité de Microsoft d’offrir la meilleure sécurité à votre organisation.
Remarque
- La préapprobation des autorisations RSC est disponible uniquement dans la préversion publique pour les développeurs.
- La préapprobation des autorisations RSC et de ses procédures d’exploitation est susceptible d’être modifiée.
Configurer PowerShell pour gérer la préapprobation des autorisations RSC
La préapprobation des autorisations RSC est gérée via Microsoft Graph PowerShell. Vous pouvez en savoir plus sur la gestion de Microsoft Teams avec PowerShell ici.
Pour créer, gérer et supprimer des stratégies de préapprobation RSC, vous devez accorder les autorisations suivantes à l’applet de commande PowerShell :
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
Remarque
Vous avez besoin de privilèges de niveau administrateur général pour connecter Graph à votre organisation pour la première fois.
Voici un exemple de configuration de PowerShell pour gérer les stratégies de préapprobation des autorisations RSC :
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
Autoriser les autorisations RSC pour les applications de votre organisation
Pour les autorisations RSC spécifiques à l’équipe et à la conversation, les administrateurs peuvent définir quatre états différents pour leur organisation. En dehors de DisabledForAllApps l’état, tous les autres états autorisent les autorisations RSC à différents degrés. Ces états peuvent être définis via Set-MgBetaChatRscConfiguration les applets de commande et Set-MgBetaTeamRscConfiguration .
Par exemple, pour autoriser les autorisations RSC pour toutes les applications débloquées dans votre organisation, utilisez les Set-MgBetaTeamRscConfiguration -State EnabledForAllApps applets de commande .
Voici les différents états qui autorisent et interdisent les autorisations RSC dans votre organisation :
| Configuration | Description |
|---|---|
ManagedByMicrosoft |
Stratégie dynamique gérée par Microsoft. Il peut être mis à jour en fonction des meilleures pratiques de sécurité. Par défaut, cet état active RSC pour toutes les applications débloquées de l’organisation. |
EnabledForAllApps |
Les utilisateurs peuvent donner leur consentement aux autorisations RSC pour toutes les applications non débloquées dans l’organisation. |
EnabledForPreApprovedAppsOnly |
Les utilisateurs de l’organisation peuvent donner leur consentement uniquement aux applications débloquées qui ont également une stratégie de préapprobation explicite associée. Cette option doit être utilisée uniquement si l’administrateur souhaite limiter explicitement les autorisations RSC autorisées par application. |
DisabledForAllApps |
Les utilisateurs ne peuvent pas donner leur consentement aux autorisations RSC requises par une application, même si l’application est débloquée dans l’organisation. Avertissement: Cet état n’autorise pas l’installation pour les applications qui ont besoin d’autorisations RSC. |
Avertissement
Si vous remplacez la configuration RSC de votre conversation ou de votre équipe par DisabledForAllApps, elle désactive la préapprobation dans votre locataire et les utilisateurs rencontrent des erreurs lorsqu’ils installent des applications compatibles RSC.
Activer les autorisations RSC pour toutes les applications débloquées dans l’organisation
Vous pouvez activer RSC pour toutes les applications non débloquées de votre organisation à l’aide des applets de commande PowerShell en remplaçant l’état du paramètre d’autorisation EnabledForAllAppsRSC par . Vous pouvez définir l’état des paramètres RSC de conversation et d’équipe dans votre organisation comme suit :
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
Activer RSC pour un ensemble spécifique d’applications uniquement
Vous pouvez créer une stratégie de pré-autorisation pour des applications spécifiques avec les autorisations et les étiquettes de confidentialité des données que vous souhaitez préapprouver. Les sections suivantes montrent comment créer une stratégie de préapprobation avec et sans étiquette de confidentialité attachée.
Créer une stratégie de pré-autorisation basée sur l’ID d’application et les autorisations
Les stratégies de préapprobation permettent aux utilisateurs de votre organisation de donner leur consentement aux autorisations RSC pour un ensemble spécifique d’applications. Cela implique que vous pouvez déterminer les applications compatibles RSC auxquelles votre organisation peut accéder, sans limiter les autorisations RSC pour toutes les applications au sein de votre organisation.
Pour créer une stratégie de préapprobation sans étiquette de confidentialité, vérifiez que vous disposez des informations suivantes :
- ID d’application Teams.
- Autorisations RSC associées à l’application.
- Privilège d’administrateur général ou d’équipe dans votre locataire.
Vous pouvez utiliser des applets de commande PowerShell pour créer une stratégie de préapprobation. Pour créer l’applet de commande, vous devez obtenir les informations mentionnées précédemment avec la New-MgBetaTeamAppPreApproval commande et spécifier l’une des autorisations RSC suivantes que vous souhaitez préapprouver dans l’applet de commande :
| Configuration | Description |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilisez cette configuration lors de la création d’une stratégie de pré-autorisation pour les autorisations RSC pour une conversation. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilisez cette configuration lors de la création d’une stratégie de préapprobation pour les autorisations RSC pour une équipe. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
Préapprouver une application avec des autorisations RSC d’équipe
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Préapprouver une application avec des autorisations RSC de conversation
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
Préapprouver une application avec les autorisations RSC d’équipe et de conversation
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Avertissement
La création de votre stratégie de préapprobation peut échouer si vous liez les autorisations incorrectes avec le type d’autorisation incorrect dans votre applet de commande. Vérifiez que les autorisations RSC de conversation se terminent par .Chat et que les autorisations RSC d’équipe se terminent par .Group.
Créer une stratégie de préapprobation basée sur l’ID d’application, les autorisations et les étiquettes de confidentialité
Des stratégies de préapprobation peuvent être créées pour préapprouver les autorisations RSC sur certaines étiquettes de confidentialité dans votre locataire. Cela vous permet de contrôler les données auxquelles les applications compatibles RSC peuvent accéder. Ici, vous pouvez découvrir le processus de création d’une stratégie de préapprobation en fonction de la sensibilité des données.
Vous pouvez également créer une stratégie de pré-autorisation pour des autorisations spécifiques en plus d’étiquettes de confidentialité spécifiques. Vous pouvez autoriser toutes les demandes de consentement RSC à être approuvées pour une autorisation particulière. Pour créer une stratégie de préapprobation, vérifiez que vous disposez des informations suivantes :
- ID d’application Teams.
- Autorisations RSC associées à l’application.
- ID d’étiquette de confidentialité associé à l’étiquette de confidentialité. Cela n’est pas obligatoire si vous souhaitez que la stratégie s’applique à toutes les étiquettes de confidentialité ou si vous préapprouver uniquement les autorisations RSC de conversation.
- Privilège d’administrateur général ou d’équipe dans votre locataire.
Vous pouvez utiliser des applets de commande PowerShell pour créer une stratégie de préapprobation. Pour créer l’applet de commande, vous devez obtenir les informations mentionnées précédemment avec la New-MgBetaTeamAppPreApproval commande et spécifier l’une des autorisations RSC suivantes que vous souhaitez préapprouver dans l’applet de commande :
| Configuration | Description |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilisez cette configuration lorsque vous créez une stratégie de préapprobation pour les autorisations RSC pour une conversation. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilisez cette configuration lorsque vous créez une stratégie de préapprobation pour les autorisations RSC pour une équipe. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
Vous pouvez utiliser les SpecificSensitivityLabel arguments pour définir des étiquettes de confidentialité spécifiques à appliquer à la stratégie de préapprobation RSC.
Voici un exemple d’applets de commande qui utilisent ces arguments :
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
Modifier la configuration RSC pour autoriser uniquement les applications avec des stratégies de préapprobation définies personnalisées
Après avoir créé vos stratégies de préapprobation, modifiez les paramètres RSC de votre organisation pour utiliser la nouvelle stratégie. Ce paramètre est plus restrictif et peut empêcher certaines applications de fonctionner pour vos utilisateurs finaux. Pour effectuer cette modification, modifiez l’état des paramètres RSC de votre organisation. L’exemple suivant montre les applets de commande PowerShell requises :
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
Gérer les stratégies de préapprobation existantes
Après avoir créé une stratégie de préapprobation, vous pouvez modifier la stratégie pour modifier les autorisations et l’étiquette de confidentialité de la stratégie. Lorsque des applications sont publiées avec des autorisations supplémentaires, vous devez mettre à jour la stratégie de préapprobation pour cette application afin d’ajouter les nouvelles autorisations, ce qui garantit que l’application peut être installée dans votre locataire. Vous avez besoin des mêmes informations pour gérer une stratégie de préapprobation existante et créer une stratégie de préapprobation.
Vous pouvez également supprimer une stratégie de préapprobation existante si vous souhaitez arrêter la préapprobation de l’autorisation RSC d’une application existante.
Mettre à jour une stratégie de préapprobation existante
Vous pouvez mettre à jour une stratégie de préapprobation avec l’applet de Update-MgBetaTeamAppPreApproval commande . Lorsque vous spécifiez les autorisations à mettre à jour, vous devez distinguer le type d’autorisations RSC.
Les configurations RSC suivantes sont disponibles pour gérer une stratégie de préapprobation existante :
| Configuration | Description |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilisez cette configuration lorsque vous créez une stratégie de préapprobation pour les autorisations RSC pour une conversation. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilisez cette configuration lorsque vous créez une stratégie de préapprobation pour les autorisations RSC pour une équipe. Utilisez cette configuration. Pour obtenir la liste de toutes les autorisations, consultez Autorisations RSC. |
Mettre à jour la stratégie de préapprobation pour le RSC de conversation
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
Mettre à jour la stratégie de préapprobation pour l’équipe RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Si vous souhaitez remplacer votre stratégie de préapprobation d’une étiquette de confidentialité définie par toutes les étiquettes de confidentialité, vous devez réinitialiser la valeur de l’argument SpecificSensitivityLabel dans votre stratégie de préapprobation. Pour ce faire, définissez l’argument AnySensitivityLabel sur null comme suit :
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
Remarque
Vous devez inclure toutes les autorisations pertinentes dans votre Update-MgBetaTeamAppPreApproval applet de commande, même si vous les avez déjà déclarées dans la préapprobation existante.
Supprimer une stratégie de préapprobation existante
Si vous souhaitez arrêter la préapprobation de l’autorisation RSC d’une application existante, vous pouvez supprimer la stratégie de préapprobation pour cette application. Pour supprimer une stratégie de préapprobation, vérifiez que vous disposez de l’ID d’application.
Vous pouvez supprimer la stratégie de pré-autorisation associée à une application à l’aide de l’applet de commande PowerShell suivante :
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e