Groeps- en teameigenaartoestemming voor toepassingen configureren
In dit artikel leert u hoe u de manier configureert waarop groep- en teameigenaren toestemming geven voor toepassingen en hoe u alle toekomstige bewerkingen voor groeps- en teameigenaren kunt uitschakelen voor toepassingen.
Groeps- en teameigenaren kunnen toepassingen, zoals toepassingen die door externe leveranciers zijn gepubliceerd, autoriseren voor toegang tot gegevens van uw organisatie die aan een groep zijn gekoppeld. Een teameigenaar in Microsoft Teams kan bijvoorbeeld toestaan dat een app alle Teams-berichten in het team kan lezen of het basisprofiel van de leden van groepsleden kan vermelden. Zie Resourcespecifieke toestemming in Microsoft Teams voor meer informatie.
Toestemming van groepseigenaar kan op twee verschillende manieren worden beheerd: via het Microsoft Entra-beheercentrum en het maken van app-toestemmingsbeleid. In het Microsoft Entra-beheercentrum kunt u alle groepseigenaars inschakelen, geselecteerde groepseigenaar inschakelen of de mogelijkheid van groepseigenaren uitschakelen om toestemming te geven aan toepassingen. Aan de andere kant kunt u met app-toestemmingsbeleid opgeven welk app-toestemmingsbeleid de toestemming van de groepseigenaar voor toepassingen bepaalt. Vervolgens hebt u de flexibiliteit om een ingebouwd Microsoft-beleid toe te wijzen of uw eigen aangepaste beleid te maken om het toestemmingsproces voor groepseigenaren effectief te beheren.
Voordat u het app-toestemmingsbeleid maakt voor het beheren van toestemming van de groepseigenaar, moet u de instelling voor toestemming van de groepseigenaar uitschakelen via het Microsoft Entra-beheercentrum. Als u deze instelling uitschakelt, kan toestemming van de groepseigenaar onderhevig zijn aan app-toestemmingsbeleid. In dit artikel leest u hoe u de instelling voor toestemming van de groepseigenaar kunt uitschakelen. Meer informatie over het beheren van groepseigenaartoestemming op basis van app-toestemmingsbeleid dat is afgestemd op uw behoeften.
Vereisten
Als u toestemming van groeps- en teameigenaar wilt configureren, hebt u het volgende nodig:
- Een gebruikersaccount in. Als u dat nog niet hebt, kunt u gratis een account maken.
- Een bevoorrechte rol Beheer istrator.
Toestemming van groepseigenaar voor apps beheren met behulp van het Microsoft Entra-beheercentrum
U kunt configureren welke gebruikers toestemming mogen geven voor apps die toegang hebben tot de gegevens van hun groepen of teams, of u kunt de instelling voor alle gebruikers uitschakelen.
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Ga als volgende te werk om toestemmingsinstellingen voor groeps- en teameigenaars te configureren via het Microsoft Entra-beheercentrum:
Volg deze stappen om toestemming van de groepseigenaar te beheren voor apps die toegang hebben tot groepsgegevens:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
- Blader naar Instellingen voor toestemming en machtigingen>voor gebruikerstoestemming in bedrijfstoepassingen voor identiteitstoepassingen.>>>
- Selecteer bij Toestemming van groepseigenaar voor apps die toegang hebben tot gegevens de optie die u wilt inschakelen.
- Selecteer Opslaan om uw instellingen op te slaan.
In dit voorbeeld mogen alle groepseigenaren toestemming geven voor apps die toegang hebben tot de gegevens van hun groepen:
U kunt de Microsoft Graph PowerShell-module gebruiken om groepseigenaren toestemming te geven voor toepassingen die toegang hebben tot de gegevens van uw organisatie voor de groepen die ze bezitten. De cmdlets in deze sectie maken deel uit van de module Microsoft.Graph.Identity.SignIns .
Verbinding maken bij Microsoft Graph PowerShell en meld u aan als ten minste een Bevoorrechte rol Beheer istrator. Gebruik Policy.Read.All
de machtiging om de huidige instellingen voor gebruikerstoestemming te lezen. Gebruik Policy.ReadWrite.Authorization
de machtiging om de instellingen voor gebruikerstoestemming te lezen en te wijzigen.
Wijzig het profiel in bèta met behulp van de
Select-MgProfile
opdracht.Select-MgProfile -Name "beta"
De machtiging voor minimale bevoegdheden gebruiken
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization" # If you need to create a new setting based on the templates, please use this permission Connect-MgGraph -Scopes "Directory.ReadWrite.All"
De huidige instelling ophalen met Microsoft Graph PowerShell
Haal de huidige waarde op voor de mapinstellingen voor Beleidsinstellingen voor toestemming in uw tenant. Hiervoor moet worden gecontroleerd of de mapinstellingen voor deze functie zijn gemaakt. Zo niet, of de waarden uit de bijbehorende sjabloon voor mapinstellingen worden gebruikt.
$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }
if (-not $settings) {
$template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
$body = @{
"templateId" = $template.Id
"values" = @(
@{
"name" = "EnableGroupSpecificConsent"
"value" = $true
},
@{
"name" = "BlockUserConsentForRiskyApps"
"value" = $true
},
@{
"name" = "EnableAdminConsentRequests"
"value" = $true
},
@{
"name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
"value" = ""
}
)
}
$settings = New-MgDirectorySetting -BodyParameter $body
}
$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }
Inzicht in de instellingswaarden in Microsoft Graph PowerShell
Er zijn twee instellingenwaarden waarmee wordt gedefinieerd welke gebruikers een app toegang kunnen geven tot de gegevens van hun groep:
Instelling | Type | Description |
---|---|---|
EnableGroupSpecificConsent | Booleaanse waarde | Vlag die aangeeft of groepseigenaren groepsspecifieke machtigingen mogen verlenen. |
ConstrainGroupSpecificConsentToMembersOfGroupId | Guid | Als EnableGroupSpecificConsent is ingesteld op True en deze waarde is ingesteld op de object-id van een groep, worden leden van de geïdentificeerde groep gemachtigd om groepsspecifieke machtigingen te verlenen aan de groepen waarvan ze eigenaar zijn. |
Instellingenwaarden voor de gewenste configuratie bijwerken met Microsoft Graph PowerShell
# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""
# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""
# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"
Uw instellingen opslaan met Microsoft Graph PowerShell
```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values
Ga als volgende te werk om toestemmingsinstellingen voor groeps- en teameigenaars te beheren via directory-instelling met Behulp van Graph Explorer:
U moet zich aanmelden als een bevoorrechte rol Beheer istrator. Voor het lezen van de huidige instellingen voor gebruikerstoestemming moet u toestemming geven.Policy.Read.All
Voor het lezen en wijzigen van de instellingen voor gebruikerstoestemming moet u toestemming geven.Policy.ReadWrite.Authorization
De huidige instelling ophalen met behulp van Microsoft Graph API
Haal de huidige waarde voor het toestemmingsbeleid op Instellingen uit het Microsoft Entra-beheercentrum in uw tenant. Hiervoor moet worden gecontroleerd of de adreslijstinstellingen voor deze functie zijn gemaakt. Als dat niet het probleem is, moet u de tweede Microsoft Graph-aanroep gebruiken om de bijbehorende mapinstellingen te maken.
GET https://graph.microsoft.com/beta/settings
Respons
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": [
{
"id": "{ directorySettingId }",
"displayName": "Consent Policy Settings",
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
]
}
maak de bijbehorende mapinstellingen als de value
map leeg is (zie hieronder als voorbeeld).
GET https://graph.microsoft.com/beta/settings
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": []
}
POST https://graph.microsoft.com/beta/settings
{
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Inzicht in de instellingswaarden in Microsoft Graph API
Er zijn twee instellingenwaarden waarmee wordt gedefinieerd welke gebruikers een app toegang kunnen geven tot de gegevens van hun groep:
Instelling | Type | Description |
---|---|---|
EnableGroupSpecificConsent | Booleaanse waarde | Vlag die aangeeft of groepseigenaren groepsspecifieke machtigingen mogen verlenen. |
ConstrainGroupSpecificConsentToMembersOfGroupId | Guid | Als EnableGroupSpecificConsent is ingesteld op True en deze waarde is ingesteld op de object-id van een groep, worden leden van de geïdentificeerde groep gemachtigd om groepsspecifieke machtigingen te verlenen aan de groepen waarvan ze eigenaar zijn. |
Instellingenwaarden bijwerken voor de gewenste configuratie met behulp van Microsoft Graph API
Vervangen {directorySettingId}
door de werkelijke id in de value
verzameling bij het ophalen van de huidige instelling
Groepsspecifieke toestemming volledig uitschakelen
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "false"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Groepsspecifieke toestemming voor alle gebruikers inschakelen
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Groepsspecifieke toestemming inschakelen voor gebruikers in een bepaalde groep
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": "{group-object-id}"
}
]
}
Notitie
De gebruiker kan toestemming geven voor apps die namens hen toegang hebben tot bedrijfsgegevens. Wanneer deze optie is uitgeschakeld, kunnen gebruikers geen toestemming geven voor apps die toegang hebben tot bedrijfsgegevens voor groepen waarvoor ze de eigen optie hebben .
Toestemming van de groepseigenaar voor apps beheren op basis van app-toestemmingsbeleid
U kunt configureren welke gebruikers toestemming mogen geven voor apps die toegang hebben tot de gegevens van hun groepen of teams via app-toestemmingsbeleid. Als u toestemming van de groepseigenaar wilt toestaan op basis van app-toestemmingsbeleid, moet de instelling voor toestemming van de groepseigenaar worden uitgeschakeld. Als dit is uitgeschakeld, wordt uw huidige beleid gelezen uit het app-toestemmingsbeleid.
Als u wilt kiezen welk app-toestemmingsbeleid gebruikerstoestemming voor toepassingen bepaalt, kunt u de Microsoft Graph PowerShell-module gebruiken. De cmdlets die hier worden gebruikt, zijn opgenomen in de module Microsoft.Graph.Identity.SignIns .
Verbinding maken naar Microsoft Graph PowerShell met behulp van de machtiging voor minimale bevoegdheden die nodig is. Als u de huidige instellingen voor gebruikerstoestemming wilt lezen, gebruikt u Policy.Read.All
. Gebruik Policy.ReadWrite.Authorization
voor het lezen en wijzigen van de instellingen voor gebruikerstoestemming. U moet zich aanmelden als een bevoorrechte rol Beheer istrator.
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Groepseigenaartoestemming uitschakelen voor het gebruik van app-toestemmingsbeleid met Behulp van Microsoft Graph PowerShell
Controleer of het
ManagePermissionGrantPoliciesForOwnedResource
bereik is bereikt ingroup
.Haal de huidige waarde op voor de instelling voor toestemming van de groepseigenaar.
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
Als
ManagePermissionGrantPoliciesForOwnedResource
deze instelling wordt geretourneerdPermissionGrantPoliciesAssigned
, is de instelling voor toestemming van de groepseigenaar mogelijk bepaald door het app-toestemmingsbeleid.Controleer of het beleid is gericht op
group
.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties
Als
resourceScopeType
==group
de instelling voor toestemming van de groepseigenaar is bepaald door het app-toestemmingsbeleid.
Als u toestemming van groepseigenaar wilt uitschakelen voor het gebruik van app-toestemmingsbeleid, moet u ervoor zorgen dat het toestemmingsbeleid (
PermissionGrantPoliciesAssigned
) het huidigeManagePermissionGrantsForSelf.*
beleid en andere huidigeManagePermissionGrantsForOwnedResource.*
beleidsregels bevat als deze niet van toepassing zijn op groepen tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.# only exclude policies that are scoped in group $body = @{ "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @( "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ) } Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Een app-toestemmingsbeleid toewijzen aan groepseigenaren met Behulp van Microsoft Graph PowerShell
Als u toestemming van een groepseigenaar wilt toestaan op basis van een app-toestemmingsbeleid, kiest u welk app-toestemmingsbeleid de autorisatie van groepseigenaren moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned
) het huidige ManagePermissionGrantsForSelf.*
beleid en andere ManagePermissionGrantsForOwnedResource.*
beleidsregels bevat, indien van toepassing tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Vervang {app-consent-policy-id-for-group}
door de id van het beleid dat u wilt toepassen. U kunt een aangepast toestemmingsbeleid voor apps kiezen dat u hebt gemaakt of u kunt kiezen uit de volgende ingebouwde beleidsregels:
Id | Beschrijving |
---|---|
microsoft-pre-approval-apps-for-group | Toestaan dat groepseigenaar toestemming geeft voor vooraf goedgekeurde apps Toestaan dat groepseigenaren alleen toestemming geven voor apps die vooraf zijn goedgekeurd door beheerders voor de groepen die ze bezitten. |
microsoft-all-application-permissions-for-group | Toestemming van groepseigenaar toestaan voor apps Met deze optie kunnen alle groepseigenaren toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist voor elke toepassing, voor de groepen die ze eigenaar zijn. Het omvat apps die vooraf zijn goedgekeurd door machtigingstoekenningsbeleid voor groepsresource-specifieke toestemming. |
Als u bijvoorbeeld toestemming van de groepseigenaar wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-all-application-permissions-for-group
, voert u de volgende opdrachten uit:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Gebruik Graph Explorer om te kiezen welk groepseigenaartoestemmingsbeleid bepaalt welke eigenaren van gebruikerstoestemmingsgroepen toestemming kunnen geven voor toepassingen die toegang hebben tot de gegevens van uw organisatie voor de groepen waarvan ze eigenaar zijn.
Toestemming van groepseigenaar uitschakelen voor het gebruik van app-toestemmingsbeleid met behulp van Microsoft Graph API
Controleer of het
ManagePermissionGrantPoliciesForOwnedResource
bereik is bereikt ingroup
.- De huidige waarde voor de toestemmingsinstelling van de groepseigenaar ophalen
GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy
Als
ManagePermissionGrantsForOwnedResource
deze instelling wordt geretourneerdpermissionGrantPolicyIdsAssignedToDefaultUserRole
, is de instelling voor toestemming van de groepseigenaar mogelijk bepaald door het app-toestemmingsbeleid.2.Controleer of het beleid is gericht op
group
.GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}
Als
resourceScopeType
==group
de instelling voor toestemming van de groepseigenaar is bepaald door het app-toestemmingsbeleid.Als u toestemming van groepseigenaar wilt uitschakelen voor het gebruik van app-toestemmingsbeleid, moet u ervoor zorgen dat het toestemmingsbeleid (
PermissionGrantPoliciesAssigned
) het huidigeManagePermissionGrantsForSelf.*
beleid en andere huidigeManagePermissionGrantsForOwnedResource.*
beleidsregels bevat, indien van toepassing op groepen. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy { "defaultUserRolePermissions": { "permissionGrantPoliciesAssigned": [ "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ] } }
Een app-toestemmingsbeleid toewijzen aan groepseigenaren met behulp van Microsoft Graph API
Als u toestemming van een groepseigenaar wilt toestaan op basis van een app-toestemmingsbeleid, kiest u welk app-toestemmingsbeleid de autorisatie van groepseigenaren moet bepalen om toestemming te verlenen aan apps. Zorg ervoor dat het toestemmingsbeleid (PermissionGrantPoliciesAssigned
) het huidige ManagePermissionGrantsForSelf.*
beleid en andere huidige ManagePermissionGrantsForOwnedResource.*
beleidsregels bevat, indien van toepassing tijdens het bijwerken van de verzameling. Op deze manier kunt u uw huidige configuratie onderhouden voor instellingen voor gebruikerstoestemming en andere instellingen voor resourcetoestemming.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
}
}
Vervang {app-consent-policy-id-for-group}
door de id van het beleid dat u wilt toepassen op groepen. U kunt een aangepast app-toestemmingsbeleid kiezen voor groepen die u hebt gemaakt, of u kunt kiezen uit de volgende ingebouwde beleidsregels:
Id | Beschrijving |
---|---|
microsoft-pre-approval-apps-for-group | Toestaan dat groepseigenaar toestemming geeft voor vooraf goedgekeurde apps Toestaan dat groepseigenaren alleen toestemming geven voor apps die vooraf zijn goedgekeurd door beheerders voor de groepen die ze bezitten. |
microsoft-all-application-permissions-for-group | Toestemming van groepseigenaar toestaan voor apps Met deze optie kunnen alle groepseigenaren toestemming geven voor elke machtiging waarvoor geen beheerderstoestemming is vereist voor elke toepassing, voor de groepen die ze eigenaar zijn. Het omvat apps die vooraf zijn goedgekeurd door machtigingstoekenningsbeleid voor groepsresource-specifieke toestemming. |
Als u bijvoorbeeld toestemming van de groepseigenaar wilt inschakelen die onderhevig zijn aan het ingebouwde beleid microsoft-pre-approval-apps-for-group
, gebruikt u de volgende PATCH-opdracht:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
]
}
}
Volgende stappen
Hulp krijgen of antwoorden op uw vragen vinden: