Delen via


App-toestemmingsbeleid voor groepseigenaren beheren

App-toestemmingsbeleid is een manier om de machtigingen te beheren die apps hebben voor toegang tot gegevens in uw organisatie. Ze worden gebruikt om te bepalen aan welke apps gebruikers toestemming kunnen geven en om ervoor te zorgen dat apps voldoen aan bepaalde criteria voordat ze toegang hebben tot gegevens. Met deze beleidsregels kunnen organisaties de controle over hun gegevens behouden en ervoor zorgen dat deze alleen worden geopend door vertrouwde apps.

In dit artikel leert u hoe u ingebouwde en aangepaste app-toestemmingsbeleid kunt beheren om te bepalen wanneer toestemming van groepseigenaar kan worden verleend.

Met Microsoft Graph en Microsoft Graph PowerShell kunt u toestemmingsbeleid voor groepseigenaars bekijken en beheren.

Een toestemmingsbeleid voor groepseigenaars bestaat uit nul of meer 'include'-voorwaardenets en nul of meer 'exclude'-voorwaardesets. Voor een gebeurtenis die moet worden overwogen in een toestemmingsbeleid voor groepseigenaars, mag de voorwaardeset 'opnemen' niet overeenkomen met een voorwaardeset 'uitsluiten'.

Elke voorwaardenset bestaat uit verschillende voorwaarden. Voor een gebeurtenis die overeenkomt met een voorwaardenset, moet aan alle voorwaarden in de voorwaardenset worden voldaan.

Toestemmingsbeleid voor groepseigenaars waarbij de id begint met 'microsoft-' zijn ingebouwde beleidsregels. Het toestemmingsbeleid van de microsoft-pre-approval-apps-for-group groepseigenaar beschrijft bijvoorbeeld de voorwaarden waaronder de groepseigenaren toestemming mogen verlenen aan toepassingen uit de vooraf goedgekeurde lijst door de beheerder om toegang te krijgen tot gegevens voor de groepen waarvan ze eigenaar zijn. Ingebouwde beleidsregels kunnen worden gebruikt in aangepaste directoryrollen en om instellingen voor gebruikerstoestemming te configureren, maar kunnen niet worden bewerkt of verwijderd.

Vereisten

Als u toestemmingsbeleid voor groepseigenaars wilt beheren voor toepassingen met Microsoft Graph PowerShell, maakt u verbinding met Microsoft Graph PowerShell en meldt u zich aan met een van de rollen die worden vermeld in de sectie Vereisten. U moet ook toestemming geven voor de Policy.ReadWrite.PermissionGrant machtiging.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Lees hoe u kunt controleren of de instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd.

  1. De huidige waarde voor de toestemmingsinstelling van de groepseigenaar ophalen

      Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
    

    Als ManagePermissionGrantPoliciesForOwnedResource deze optie wordt geretourneerd PermissionGrantPoliciesAssigned, is de toestemmingsinstelling van de groepseigenaar mogelijk op andere manieren geautoriseerd.

  2. Controleer of het beleid is gericht op group.

       Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
    

Als ResourceScopeType == groupde instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd. Als het app-toestemmingsbeleid voor groepen is toegewezen microsoft-pre-approval-apps-for-group, betekent dit bovendien dat de functie voor voorafgaande goedkeuring is ingeschakeld voor uw tenant.

Het is een goed idee om eerst vertrouwd te raken met het bestaande toestemmingsbeleid voor groepseigenaars in uw organisatie:

  1. Lijst met alle beleidsregels voor groepseigenaartoestemming:

    Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description
    
  2. Bekijk de voorwaardenets 'opnemen' van een beleid:

    Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
    
  3. Bekijk de voorwaardensets 'uitsluiten':

    Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
    

Volg deze stappen om een aangepast toestemmingsbeleid voor groepseigenaars te maken:

  1. Maak een nieuw leeg toestemmingsbeleid voor groepseigenaars.

    New-MgPolicyPermissionGrantPolicy `
        -Id "my-custom-app-consent-policy-for-group" `
        -DisplayName "My first custom app consent policy for group" `
        -Description "This is a sample custom app consent policy for group." `
        -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}
    
  2. Voeg voorwaardesets voor opnemen toe.

    # Include delegated permissions classified "low", for apps from verified publishers
    New-MgPolicyPermissionGrantPolicyInclude `
        -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
        -PermissionType "delegated" `
        -PermissionClassification "low" `
        -ClientApplicationsFromVerifiedPublisherOnly
    

    Herhaal deze stap om meer 'include'-voorwaardesets toe te voegen.

  3. U kunt eventueel voorwaardensets 'uitsluiten' toevoegen.

    # Retrieve the service principal for the Azure Management API
    $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"
    
    # Exclude delegated permissions for the Azure Management API
    New-MgPolicyPermissionGrantPolicyExclude `
        -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
        -PermissionType "delegated" `
        -ResourceApplication $azureApi.AppId
    

    Herhaal deze stap om meer voorwaardenets voor uitsluiten toe te voegen.

Zodra het app-toestemmingsbeleid voor de groep is gemaakt, kunt u toestaan dat groepseigenaren toestemming geven voor dit beleid.

  1. Hieronder ziet u hoe u een aangepast toestemmingsbeleid voor groepseigenaars kunt verwijderen.

    Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
    

Als u toestemmingsbeleid voor groepseigenaars wilt beheren, meldt u zich aan bij Graph Explorer met een van de rollen die worden vermeld in de sectie Vereisten. U moet ook toestemming geven voor de Policy.ReadWrite.PermissionGrant machtiging.

Lees hoe u kunt controleren of de instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd.

  1. De huidige beleidswaarde ophalen

    GET /policies/authorizationPolicy
    

    Als ManagePermissionGrantPoliciesForOwnedResource dit wordt weergegeven, is de instelling voor toestemming van de groepseigenaar mogelijk op andere manieren geautoriseerd.

  2. Controleer of het beleid is gericht op group

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }
    

    Als resourceScopeType == groupde instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd. Als het app-toestemmingsbeleid voor groepen is toegewezen microsoft-pre-approval-apps-for-group, betekent dit bovendien dat de functie voor voorafgaande goedkeuring is ingeschakeld voor uw tenant.

Het is een goed idee om eerst vertrouwd te raken met het bestaande toestemmingsbeleid voor groepseigenaars in uw organisatie:

  1. Geef alle beleidsregels voor app-toestemming weer:

    GET /policies/permissionGrantPolicies
    
  2. Bekijk de voorwaardenets 'opnemen' van een beleid:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes
    
  3. Bekijk de voorwaardensets 'uitsluiten':

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
    

Volg deze stappen om een aangepast toestemmingsbeleid voor groepseigenaars te maken:

  1. Maak een nieuw leeg toestemmingsbeleid voor groepseigenaars.

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies
    
    {
      "id": "my-custom-app-consent-policy-for-group",
      "displayName": "My first custom app consent policy for group",
      "description": "This is a sample custom app consent policy for group",
      "includeAllPreApprovedApplications": false,
      "resourceScopeType": "group"
    }
    
  2. Voeg voorwaardesets voor opnemen toe.

    Gedelegeerde machtigingen opnemen die 'laag' zijn geclassificeerd voor apps van geverifieerde uitgevers

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes
    
    {
      "permissionType": "delegated",
      "permissionClassification": "low",
      "clientApplicationsFromVerifiedPublisherOnly": true
    }
    

    Herhaal deze stap om meer 'include'-voorwaardesets toe te voegen.

  3. U kunt eventueel voorwaardensets 'uitsluiten' toevoegen. Gedelegeerde machtigingen uitsluiten voor de Azure Management-API (appId 00001111-aaaa-2222-bbbb-3333cccc44444)

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes
    
    {
      "permissionType": "delegated",
      "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 "
    }
    

    Herhaal deze stap om meer voorwaardenets voor uitsluiten toe te voegen.

Zodra het toestemmingsbeleid van de groepseigenaar is gemaakt, kunt u toestaan dat groepseigenaren toestemming geven op basis van dit beleid.

  1. Hieronder ziet u hoe u een aangepast toestemmingsbeleid voor groepseigenaars kunt verwijderen.

    DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
    

Waarschuwing

Verwijderd toestemmingsbeleid voor groepseigenaars kan niet worden hersteld. Als u per ongeluk een aangepast toestemmingsbeleid voor groepseigenaars verwijdert, moet u het beleid opnieuw maken.

Ondersteunde voorwaarden

De volgende tabel bevat de lijst met ondersteunde voorwaarden voor toestemmingsbeleid voor groepseigenaars.

Voorwaarde Beschrijving
PermissionClassification De machtigingsclassificatie voor de machtiging die wordt verleend, of 'alle' die overeenkomen met elke machtigingsclassificatie (inclusief machtigingen die niet zijn geclassificeerd). De standaardwaarde is 'all'.
PermissionType Het machtigingstype van de machtiging die wordt verleend. Gebruik 'toepassing' voor toepassingsmachtigingen (bijvoorbeeld app-rollen) of 'gedelegeerd' voor gedelegeerde machtigingen.

Opmerking: de waarde 'delegatedUserConsentable' geeft gedelegeerde machtigingen aan die niet zijn geconfigureerd door de API-uitgever om beheerderstoestemming te vereisen. Deze waarde kan worden gebruikt in ingebouwd machtigingsbeleid, maar kan niet worden gebruikt in aangepast machtigingsbeleid. Vereist.
ResourceApplication De AppId van de resourcetoepassing (bijvoorbeeld de API) waarvoor een machtiging wordt verleend, of 'any' die overeenkomt met een resourcetoepassing of API. De standaardwaarde is 'any'.
Machtigingen De lijst met machtigings-id's voor de specifieke machtigingen waarmee moet worden vergeleken, of een lijst met de enkele waarde 'alles' die overeenkomt met elke machtiging. De standaardwaarde is de enkele waarde 'all'.
- Gedelegeerde machtigings-id's vindt u in de eigenschap OAuth2Permissions van het ServicePrincipal-object van de API.
- Id's voor toepassingsmachtigingen vindt u in de eigenschap AppRoles van het ServicePrincipal-object van de API.
ClientApplicationIds Een lijst met AppId-waarden waarmee de clienttoepassingen overeenkomen, of een lijst met de enkele waarde 'all' die overeenkomt met elke clienttoepassing. De standaardwaarde is de enkele waarde 'all'.
ClientApplicationTenantIds Een lijst met Microsoft Entra-tenant-id's waarin de clienttoepassing is geregistreerd, of een lijst met de enkele waarde 'all' die overeenkomt met client-apps die zijn geregistreerd in elke tenant. De standaardwaarde is de enkele waarde 'all'.
ClientApplicationPublisherIds Een lijst met MPN-id's (Microsoft Partner Network) voor geverifieerde uitgevers van de clienttoepassing of een lijst met de enkele waarde 'alles' die overeenkomt met client-apps van elke uitgever. De standaardwaarde is de enkele waarde 'all'.
ClientApplicationsFromVerifiedPublisherOnly Stel deze switch zo in dat deze alleen overeenkomt met clienttoepassingen met geverifieerde uitgevers. Schakel deze schakeloptie (-ClientApplicationsFromVerifiedPublisherOnly:$false) uit om overeen te komen met een client-app, zelfs als deze geen geverifieerde uitgever heeft. Standaard is $false.

Waarschuwing

Verwijderd toestemmingsbeleid voor groepseigenaars kan niet worden hersteld. Als u per ongeluk een aangepast toestemmingsbeleid voor groepseigenaars verwijdert, moet u het beleid opnieuw maken.

Hulp krijgen of antwoorden op uw vragen vinden: