Delen via

Groeps- en teameigenaartoestemming voor toepassingen configureren

  • Artikel

In dit artikel leert u hoe u de manier configureert waarop groep- en teameigenaren toestemming geven voor toepassingen en hoe u alle toekomstige bewerkingen voor groeps- en teameigenaren kunt uitschakelen voor toepassingen.

Groeps- en teameigenaren kunnen toepassingen, zoals toepassingen die door externe leveranciers zijn gepubliceerd, autoriseren voor toegang tot gegevens van uw organisatie die aan een groep zijn gekoppeld. Een teameigenaar in Microsoft Teams kan bijvoorbeeld toestaan dat een app alle Teams-berichten in het team kan lezen of het basisprofiel van de leden van groepsleden kan vermelden. Zie Resourcespecifieke toestemming in Microsoft Teams voor meer informatie.

Toestemming van groepseigenaar kan op twee verschillende manieren worden beheerd: via het Microsoft Entra-beheercentrum en het maken van app-toestemmingsbeleid. In het Microsoft Entra-beheercentrum kunt u alle groepseigenaars inschakelen, geselecteerde groepseigenaar inschakelen of de mogelijkheid van groepseigenaren uitschakelen om toestemming te geven aan toepassingen. Aan de andere kant kunt u met app-toestemmingsbeleid opgeven welk app-toestemmingsbeleid de toestemming van de groepseigenaar voor toepassingen bepaalt. Vervolgens hebt u de flexibiliteit om een ingebouwd Microsoft-beleid toe te wijzen of uw eigen aangepaste beleid te maken om het toestemmingsproces voor groepseigenaren effectief te beheren.

Voordat u het app-toestemmingsbeleid maakt voor het beheren van toestemming van de groepseigenaar, moet u de instelling voor toestemming van de groepseigenaar uitschakelen via het Microsoft Entra-beheercentrum. Als u deze instelling uitschakelt, kan toestemming van de groepseigenaar onderhevig zijn aan app-toestemmingsbeleid. In dit artikel leest u hoe u de instelling voor toestemming van de groepseigenaar kunt uitschakelen. Meer informatie over het beheren van groepseigenaartoestemming op basis van app-toestemmingsbeleid dat is afgestemd op uw behoeften.

Vereisten

Als u toestemming van groeps- en teameigenaar wilt configureren, hebt u het volgende nodig:

U kunt configureren welke gebruikers toestemming mogen geven voor apps die toegang hebben tot de gegevens van hun groepen of teams, of u kunt de instelling voor alle gebruikers uitschakelen.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Ga als volgende te werk om toestemmingsinstellingen voor groeps- en teameigenaars te configureren via het Microsoft Entra-beheercentrum:

Volg deze stappen om toestemming van de groepseigenaar te beheren voor apps die toegang hebben tot groepsgegevens:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
  2. Blader naar Instellingen voor toestemming en machtigingen>voor gebruikerstoestemming in bedrijfstoepassingen voor identiteitstoepassingen.>>>
  3. Selecteer bij Toestemming van groepseigenaar voor apps die toegang hebben tot gegevens de optie die u wilt inschakelen.
  4. Selecteer Opslaan om uw instellingen op te slaan.

In dit voorbeeld mogen alle groepseigenaren toestemming geven voor apps die toegang hebben tot de gegevens van hun groepen:

Instellingen voor toestemming van groepseigenaar

U kunt de Microsoft Graph PowerShell-module gebruiken om groepseigenaren toestemming te geven voor toepassingen die toegang hebben tot de gegevens van uw organisatie voor de groepen die ze bezitten. De cmdlets in deze sectie maken deel uit van de module Microsoft.Graph.Identity.SignIns .

Verbinding maken bij Microsoft Graph PowerShell en meld u aan als ten minste een Bevoorrechte rol Beheer istrator. Gebruik Policy.Read.All de machtiging om de huidige instellingen voor gebruikerstoestemming te lezen. Gebruik Policy.ReadWrite.Authorization de machtiging om de instellingen voor gebruikerstoestemming te lezen en te wijzigen.

  1. Wijzig het profiel in bèta met behulp van de Select-MgProfile opdracht.

    Select-MgProfile -Name "beta"

  2. De machtiging voor minimale bevoegdheden gebruiken

    Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

# If you need to create a new setting based on the templates, please use this permission
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

De huidige instelling ophalen met Microsoft Graph PowerShell

Haal de huidige waarde op voor de mapinstellingen voor Beleidsinstellingen voor toestemming in uw tenant. Hiervoor moet worden gecontroleerd of de mapinstellingen voor deze functie zijn gemaakt. Zo niet, of de waarden uit de bijbehorende sjabloon voor mapinstellingen worden gebruikt.

$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }

if (-not $settings) {
    $template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
    $body = @{
                "templateId" = $template.Id
                "values" = @(
                    @{
                        "name" = "EnableGroupSpecificConsent"
                        "value" = $true
                    },
                    @{
                        "name" = "BlockUserConsentForRiskyApps"
                        "value" = $true
                    },
                    @{
                        "name" = "EnableAdminConsentRequests"
                        "value" = $true
                    },
                    @{
                        "name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                        "value" = ""
                    }
                )
    }
    $settings = New-MgDirectorySetting -BodyParameter $body
}

$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }

Inzicht in de instellingswaarden in Microsoft Graph PowerShell

Er zijn twee instellingenwaarden waarmee wordt gedefinieerd welke gebruikers een app toegang kunnen geven tot de gegevens van hun groep:

Instelling Type Description
EnableGroupSpecificConsent Booleaanse waarde Vlag die aangeeft of groepseigenaren groepsspecifieke machtigingen mogen verlenen.
ConstrainGroupSpecificConsentToMembersOfGroupId Guid Als EnableGroupSpecificConsent is ingesteld op True en deze waarde is ingesteld op de object-id van een groep, worden leden van de geïdentificeerde groep gemachtigd om groepsspecifieke machtigingen te verlenen aan de groepen waarvan ze eigenaar zijn.

Instellingenwaarden voor de gewenste configuratie bijwerken met Microsoft Graph PowerShell

# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""

# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""

# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"

Uw instellingen opslaan met Microsoft Graph PowerShell


```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values

Ga als volgende te werk om toestemmingsinstellingen voor groeps- en teameigenaars te beheren via directory-instelling met Behulp van Graph Explorer:

U moet zich aanmelden als een bevoorrechte rol Beheer istrator. Voor het lezen van de huidige instellingen voor gebruikerstoestemming moet u toestemming geven.Policy.Read.All Voor het lezen en wijzigen van de instellingen voor gebruikerstoestemming moet u toestemming geven.Policy.ReadWrite.Authorization

De huidige instelling ophalen met behulp van Microsoft Graph API

Haal de huidige waarde voor het toestemmingsbeleid op Instellingen uit het Microsoft Entra-beheercentrum in uw tenant. Hiervoor moet worden gecontroleerd of de adreslijstinstellingen voor deze functie zijn gemaakt. Als dat niet het probleem is, moet u de tweede Microsoft Graph-aanroep gebruiken om de bijbehorende mapinstellingen te maken.

GET https://graph.microsoft.com/beta/settings

Respons

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": [
        {
            "id": "{ directorySettingId }",
            "displayName": "Consent Policy Settings",
            "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
            "values": [
            {
                    "name": "EnableGroupSpecificConsent",
                    "value": "true"
                },
                {
                    "name": "BlockUserConsentForRiskyApps",
                    "value": "true"
                },
                {
                    "name": "EnableAdminConsentRequests",
                    "value": "true"
                },
                {
                    "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
                    "value": ""
                }
            ]
        }
    ]
}

maak de bijbehorende mapinstellingen als de value map leeg is (zie hieronder als voorbeeld).

GET https://graph.microsoft.com/beta/settings

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": []
}

POST https://graph.microsoft.com/beta/settings
{
    "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Inzicht in de instellingswaarden in Microsoft Graph API

Er zijn twee instellingenwaarden waarmee wordt gedefinieerd welke gebruikers een app toegang kunnen geven tot de gegevens van hun groep:

Instelling Type Description
EnableGroupSpecificConsent Booleaanse waarde Vlag die aangeeft of groepseigenaren groepsspecifieke machtigingen mogen verlenen.
ConstrainGroupSpecificConsentToMembersOfGroupId Guid Als EnableGroupSpecificConsent is ingesteld op True en deze waarde is ingesteld op de object-id van een groep, worden leden van de geïdentificeerde groep gemachtigd om groepsspecifieke machtigingen te verlenen aan de groepen waarvan ze eigenaar zijn.

Instellingenwaarden bijwerken voor de gewenste configuratie met behulp van Microsoft Graph API

Vervangen {directorySettingId} door de werkelijke id in de value verzameling bij het ophalen van de huidige instelling

Groepsspecifieke toestemming volledig uitschakelen

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "false"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Groepsspecifieke toestemming voor alle gebruikers inschakelen

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Groepsspecifieke toestemming inschakelen voor gebruikers in een bepaalde groep

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": "{group-object-id}"
        }
    ]
}

Notitie

De gebruiker kan toestemming geven voor apps die namens hen toegang hebben tot bedrijfsgegevens. Wanneer deze optie is uitgeschakeld, kunnen gebruikers geen toestemming geven voor apps die toegang hebben tot bedrijfsgegevens voor groepen waarvoor ze de eigen optie hebben .

U kunt configureren welke gebruikers toestemming mogen geven voor apps die toegang hebben tot de gegevens van hun groepen of teams via app-toestemmingsbeleid. Als u toestemming van de groepseigenaar wilt toestaan op basis van app-toestemmingsbeleid, moet de instelling voor toestemming van de groepseigenaar worden uitgeschakeld. Als dit is uitgeschakeld, wordt uw huidige beleid gelezen uit het app-toestemmingsbeleid.

Als u wilt kiezen welk app-toestemmingsbeleid gebruikerstoestemming voor toepassingen bepaalt, kunt u de Microsoft Graph PowerShell-module gebruiken. De cmdlets die hier worden gebruikt, zijn opgenomen in de module Microsoft.Graph.Identity.SignIns .

Verbinding maken naar Microsoft Graph PowerShell met behulp van de machtiging voor minimale bevoegdheden die nodig is. Als u de huidige instellingen voor gebruikerstoestemming wilt lezen, gebruikt u Policy.Read.All. Gebruik Policy.ReadWrite.Authorizationvoor het lezen en wijzigen van de instellingen voor gebruikerstoestemming. U moet zich aanmelden als een bevoorrechte rol Beheer istrator.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

  1. Controleer of het ManagePermissionGrantPoliciesForOwnedResource bereik is bereikt in group.

    1. Haal de huidige waarde op voor de instelling voor toestemming van de groepseigenaar.

        Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned

    Als ManagePermissionGrantPoliciesForOwnedResource deze instelling wordt geretourneerd PermissionGrantPoliciesAssigned, is de instelling voor toestemming van de groepseigenaar mogelijk bepaald door het app-toestemmingsbeleid.

    1. Controleer of het beleid is gericht op group.

        Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties

      Als resourceScopeType == groupde instelling voor toestemming van de groepseigenaar is bepaald door het app-toestemmingsbeleid.

  2. Als u toestemming van groepseigenaar wilt uitschakelen voor het gebruik van app-toestemmingsbeleid, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) het huidige ManagePermissionGrantsForSelf.* beleid en andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat als deze niet van toepassing zijn op groepen tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

    # only exclude policies that are scoped in group
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Als u toestemming van een groepseigenaar wilt toestaan op basis van een app-toestemmingsbeleid, kiest u welk app-toestemmingsbeleid de autorisatie van groepseigenaren moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) het huidige ManagePermissionGrantsForSelf.* beleid en andere ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien van toepassing tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Vervang {app-consent-policy-id-for-group} door de id van het beleid dat u wilt toepassen. U kunt een aangepast toestemmingsbeleid voor apps kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Beschrijving
microsoft-pre-approval-apps-for-group Toestaan dat groepseigenaar toestemming geeft voor vooraf goedgekeurde apps
Toestaan dat groepseigenaren alleen toestemming geven voor apps die vooraf zijn goedgekeurd door beheerders voor de groepen die ze bezitten.
microsoft-all-application-permissions-for-group Toestemming van groepseigenaar toestaan voor apps
Met deze optie kunnen alle groepseigenaren toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist voor elke toepassing, voor de groepen die ze eigenaar zijn. Het omvat apps die vooraf zijn goedgekeurd door machtigingstoekenningsbeleid voor groepsresource-specifieke toestemming.

Als u bijvoorbeeld toestemming van de groepseigenaar wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-all-application-permissions-for-group, voert u de volgende opdrachten uit:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Gebruik Graph Explorer om te kiezen welk groepseigenaartoestemmingsbeleid bepaalt welke eigenaren van gebruikerstoestemmingsgroepen toestemming kunnen geven voor toepassingen die toegang hebben tot de gegevens van uw organisatie voor de groepen waarvan ze eigenaar zijn.

  1. Controleer of het ManagePermissionGrantPoliciesForOwnedResource bereik is bereikt in group.

    1. De huidige waarde voor de toestemmingsinstelling van de groepseigenaar ophalen
    GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy

    Als ManagePermissionGrantsForOwnedResource deze instelling wordt geretourneerd permissionGrantPolicyIdsAssignedToDefaultUserRole, is de instelling voor toestemming van de groepseigenaar mogelijk bepaald door het app-toestemmingsbeleid.

    2.Controleer of het beleid is gericht op group.

    GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}

    Als resourceScopeType == groupde instelling voor toestemming van de groepseigenaar is bepaald door het app-toestemmingsbeleid.

  2. Als u toestemming van groepseigenaar wilt uitschakelen voor het gebruik van app-toestemmingsbeleid, moet u ervoor zorgen dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) het huidige ManagePermissionGrantsForSelf.* beleid en andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien van toepassing op groepen. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

    PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy
{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}"
         ]
     }
 }

Als u toestemming van een groepseigenaar wilt toestaan op basis van een app-toestemmingsbeleid, kiest u welk app-toestemmingsbeleid de autorisatie van groepseigenaren moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned) het huidige ManagePermissionGrantsForSelf.* beleid en andere huidige ManagePermissionGrantsForOwnedResource.* beleidsregels bevat, indien van toepassing tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
   }
}

Vervang {app-consent-policy-id-for-group} door de id van het beleid dat u wilt toepassen op groepen. U kunt een aangepast app-toestemmingsbeleid kiezen voor groepen die u hebt gemaakt, of u kunt kiezen uit de volgende ingebouwde beleidsregels:

Id Beschrijving
microsoft-pre-approval-apps-for-group Toestaan dat groepseigenaar toestemming geeft voor vooraf goedgekeurde apps
Toestaan dat groepseigenaren alleen toestemming geven voor apps die vooraf zijn goedgekeurd door beheerders voor de groepen die ze bezitten.
microsoft-all-application-permissions-for-group Toestemming van groepseigenaar toestaan voor apps
Met deze optie kunnen alle groepseigenaren toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist voor elke toepassing, voor de groepen die ze eigenaar zijn. Het omvat apps die vooraf zijn goedgekeurd door machtigingstoekenningsbeleid voor groepsresource-specifieke toestemming.

Als u bijvoorbeeld toestemming van de groepseigenaar wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-pre-approval-apps-for-group, gebruikt u de volgende PATCH-opdracht:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
            "managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
        ]
    }
}

Volgende stappen

Hulp krijgen of antwoorden op uw vragen vinden: