App-toestemmingsbeleid voor groepseigenaren beheren
App-toestemmingsbeleid is een manier om de machtigingen te beheren die apps hebben voor toegang tot gegevens in uw organisatie. Ze worden gebruikt om te bepalen aan welke apps gebruikers toestemming kunnen geven en om ervoor te zorgen dat apps voldoen aan bepaalde criteria voordat ze toegang hebben tot gegevens. Met deze beleidsregels kunnen organisaties de controle over hun gegevens behouden en ervoor zorgen dat deze alleen worden geopend door vertrouwde apps.
In dit artikel leert u hoe u ingebouwde en aangepaste app-toestemmingsbeleid kunt beheren om te bepalen wanneer toestemming van groepseigenaar kan worden verleend.
Met Microsoft Graph en Microsoft Graph PowerShell kunt u toestemmingsbeleid voor groepseigenaars bekijken en beheren.
Een toestemmingsbeleid voor groepseigenaars bestaat uit nul of meer 'include'-voorwaardenets en nul of meer 'exclude'-voorwaardesets. Voor een gebeurtenis die moet worden overwogen in een toestemmingsbeleid voor groepseigenaars, mag de voorwaardeset 'opnemen' niet overeenkomen met een voorwaardeset 'uitsluiten'.
Elke voorwaardenset bestaat uit verschillende voorwaarden. Voor een gebeurtenis die overeenkomt met een voorwaardenset, moet aan alle voorwaarden in de voorwaardenset worden voldaan.
Toestemmingsbeleid voor groepseigenaars waarbij de id begint met 'microsoft-' zijn ingebouwde beleidsregels. Het toestemmingsbeleid van de microsoft-pre-approval-apps-for-group groepseigenaar beschrijft bijvoorbeeld de voorwaarden waaronder de groepseigenaren toestemming mogen verlenen aan toepassingen uit de vooraf goedgekeurde lijst door de beheerder om toegang te krijgen tot gegevens voor de groepen waarvan ze eigenaar zijn. Ingebouwde beleidsregels kunnen worden gebruikt in aangepaste directoryrollen en om instellingen voor gebruikerstoestemming te configureren, maar kunnen niet worden bewerkt of verwijderd.
Vereisten
- Een gebruiker of service met een van de volgende rollen:
- Beheerder voor bevoorrechte rollen
- Een aangepaste rol met de benodigde machtigingen voor het beheren van toestemmingsbeleid voor groepseigenaars
- De Microsoft Graph-app-rol (toepassingsmachtiging) Policy.ReadWrite.PermissionGrant (wanneer u verbinding maakt als een app of een service)
- Als u toestemming van de groepseigenaar wilt toestaan op basis van app-toestemmingsbeleid, moet de instelling voor toestemming van de groepseigenaar worden uitgeschakeld. Als dit is uitgeschakeld, wordt uw huidige beleid gelezen uit het app-toestemmingsbeleid. Zie Toestemmingsinstelling groepseigenaar uitschakelen voor meer informatie over het uitschakelen van toestemmingsinstelling voor groepseigenaars
Als u toestemmingsbeleid voor groepseigenaars wilt beheren voor toepassingen met Microsoft Graph PowerShell, maakt u verbinding met Microsoft Graph PowerShell en meldt u zich aan met een van de rollen die worden vermeld in de sectie Vereisten. U moet ook toestemming geven voor de Policy.ReadWrite.PermissionGrant machtiging.
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"
De huidige waarde voor het toestemmingsbeleid van de groepseigenaar ophalen met behulp van PowerShell
Lees hoe u kunt controleren of de instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd.
De huidige waarde voor de toestemmingsinstelling van de groepseigenaar ophalen
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssignedAls
ManagePermissionGrantPoliciesForOwnedResourcedeze optie wordt geretourneerdPermissionGrantPoliciesAssigned, is de toestemmingsinstelling van de groepseigenaar mogelijk op andere manieren geautoriseerd.Controleer of het beleid is gericht op
group.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
Als ResourceScopeType == groupde instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd. Als het app-toestemmingsbeleid voor groepen is toegewezen microsoft-pre-approval-apps-for-group, betekent dit bovendien dat de functie voor voorafgaande goedkeuring is ingeschakeld voor uw tenant.
Bestaand beleid voor groepseigenaartoestemming weergeven met behulp van PowerShell
Het is een goed idee om eerst vertrouwd te raken met het bestaande toestemmingsbeleid voor groepseigenaars in uw organisatie:
Lijst met alle beleidsregels voor groepseigenaartoestemming:
Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, DescriptionBekijk de voorwaardenets 'opnemen' van een beleid:
Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | flBekijk de voorwaardensets 'uitsluiten':
Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
Een aangepast toestemmingsbeleid voor groepseigenaars maken met behulp van PowerShell
Volg deze stappen om een aangepast toestemmingsbeleid voor groepseigenaars te maken:
Maak een nieuw leeg toestemmingsbeleid voor groepseigenaars.
New-MgPolicyPermissionGrantPolicy ` -Id "my-custom-app-consent-policy-for-group" ` -DisplayName "My first custom app consent policy for group" ` -Description "This is a sample custom app consent policy for group." ` -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}Voeg voorwaardesets voor opnemen toe.
# Include delegated permissions classified "low", for apps from verified publishers New-MgPolicyPermissionGrantPolicyInclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -PermissionClassification "low" ` -ClientApplicationsFromVerifiedPublisherOnlyHerhaal deze stap om meer 'include'-voorwaardesets toe te voegen.
U kunt eventueel voorwaardensets 'uitsluiten' toevoegen.
# Retrieve the service principal for the Azure Management API $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')" # Exclude delegated permissions for the Azure Management API New-MgPolicyPermissionGrantPolicyExclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -ResourceApplication $azureApi.AppIdHerhaal deze stap om meer voorwaardenets voor uitsluiten toe te voegen.
Zodra het app-toestemmingsbeleid voor de groep is gemaakt, kunt u toestaan dat groepseigenaren toestemming geven voor dit beleid.
Een aangepast toestemmingsbeleid voor groepseigenaars verwijderen met behulp van PowerShell
Hieronder ziet u hoe u een aangepast toestemmingsbeleid voor groepseigenaars kunt verwijderen.
Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
Als u toestemmingsbeleid voor groepseigenaars wilt beheren, meldt u zich aan bij Graph Explorer met een van de rollen die worden vermeld in de sectie Vereisten. U moet ook toestemming geven voor de Policy.ReadWrite.PermissionGrant machtiging.
De huidige waarde voor het toestemmingsbeleid van de groepseigenaar ophalen met Behulp van Microsoft Graph
Lees hoe u kunt controleren of de instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd.
De huidige beleidswaarde ophalen
GET /policies/authorizationPolicyAls
ManagePermissionGrantPoliciesForOwnedResourcedit wordt weergegeven, is de instelling voor toestemming van de groepseigenaar mogelijk op andere manieren geautoriseerd.Controleer of het beleid is gericht op
groupGET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }Als
resourceScopeType==groupde instelling voor toestemming van de groepseigenaar op andere manieren is geautoriseerd. Als het app-toestemmingsbeleid voor groepen is toegewezenmicrosoft-pre-approval-apps-for-group, betekent dit bovendien dat de functie voor voorafgaande goedkeuring is ingeschakeld voor uw tenant.
Bestaand beleid voor groepseigenaartoestemming weergeven met Behulp van Microsoft Graph
Het is een goed idee om eerst vertrouwd te raken met het bestaande toestemmingsbeleid voor groepseigenaars in uw organisatie:
Geef alle beleidsregels voor app-toestemming weer:
GET /policies/permissionGrantPoliciesBekijk de voorwaardenets 'opnemen' van een beleid:
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includesBekijk de voorwaardensets 'uitsluiten':
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
Een aangepast toestemmingsbeleid voor groepseigenaars maken met Microsoft Graph
Volg deze stappen om een aangepast toestemmingsbeleid voor groepseigenaars te maken:
Maak een nieuw leeg toestemmingsbeleid voor groepseigenaars.
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies { "id": "my-custom-app-consent-policy-for-group", "displayName": "My first custom app consent policy for group", "description": "This is a sample custom app consent policy for group", "includeAllPreApprovedApplications": false, "resourceScopeType": "group" }Voeg voorwaardesets voor opnemen toe.
Gedelegeerde machtigingen opnemen die 'laag' zijn geclassificeerd voor apps van geverifieerde uitgevers
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes { "permissionType": "delegated", "permissionClassification": "low", "clientApplicationsFromVerifiedPublisherOnly": true }Herhaal deze stap om meer 'include'-voorwaardesets toe te voegen.
U kunt eventueel voorwaardensets 'uitsluiten' toevoegen. Gedelegeerde machtigingen uitsluiten voor de Azure Management-API (appId 00001111-aaaa-2222-bbbb-3333cccc44444)
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes { "permissionType": "delegated", "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 " }Herhaal deze stap om meer voorwaardenets voor uitsluiten toe te voegen.
Zodra het toestemmingsbeleid van de groepseigenaar is gemaakt, kunt u toestaan dat groepseigenaren toestemming geven op basis van dit beleid.
Een aangepast toestemmingsbeleid voor groepseigenaars verwijderen met Microsoft Graph
Hieronder ziet u hoe u een aangepast toestemmingsbeleid voor groepseigenaars kunt verwijderen.
DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
Waarschuwing
Verwijderd toestemmingsbeleid voor groepseigenaars kan niet worden hersteld. Als u per ongeluk een aangepast toestemmingsbeleid voor groepseigenaars verwijdert, moet u het beleid opnieuw maken.
Ondersteunde voorwaarden
De volgende tabel bevat de lijst met ondersteunde voorwaarden voor toestemmingsbeleid voor groepseigenaars.
| Voorwaarde | Beschrijving |
|---|---|
| PermissionClassification | De machtigingsclassificatie voor de machtiging die wordt verleend, of 'alle' die overeenkomen met elke machtigingsclassificatie (inclusief machtigingen die niet zijn geclassificeerd). De standaardwaarde is 'all'. |
| PermissionType | Het machtigingstype van de machtiging die wordt verleend. Gebruik 'toepassing' voor toepassingsmachtigingen (bijvoorbeeld app-rollen) of 'gedelegeerd' voor gedelegeerde machtigingen. Opmerking: de waarde 'delegatedUserConsentable' geeft gedelegeerde machtigingen aan die niet zijn geconfigureerd door de API-uitgever om beheerderstoestemming te vereisen. Deze waarde kan worden gebruikt in ingebouwd machtigingsbeleid, maar kan niet worden gebruikt in aangepast machtigingsbeleid. Vereist. |
| ResourceApplication | De AppId van de resourcetoepassing (bijvoorbeeld de API) waarvoor een machtiging wordt verleend, of 'any' die overeenkomt met een resourcetoepassing of API. De standaardwaarde is 'any'. |
| Machtigingen | De lijst met machtigings-id's voor de specifieke machtigingen waarmee moet worden vergeleken, of een lijst met de enkele waarde 'alles' die overeenkomt met elke machtiging. De standaardwaarde is de enkele waarde 'all'. - Gedelegeerde machtigings-id's vindt u in de eigenschap OAuth2Permissions van het ServicePrincipal-object van de API. - Id's voor toepassingsmachtigingen vindt u in de eigenschap AppRoles van het ServicePrincipal-object van de API. |
| ClientApplicationIds | Een lijst met AppId-waarden waarmee de clienttoepassingen overeenkomen, of een lijst met de enkele waarde 'all' die overeenkomt met elke clienttoepassing. De standaardwaarde is de enkele waarde 'all'. |
| ClientApplicationTenantIds | Een lijst met Microsoft Entra-tenant-id's waarin de clienttoepassing is geregistreerd, of een lijst met de enkele waarde 'all' die overeenkomt met client-apps die zijn geregistreerd in elke tenant. De standaardwaarde is de enkele waarde 'all'. |
| ClientApplicationPublisherIds | Een lijst met MPN-id's (Microsoft Partner Network) voor geverifieerde uitgevers van de clienttoepassing of een lijst met de enkele waarde 'alles' die overeenkomt met client-apps van elke uitgever. De standaardwaarde is de enkele waarde 'all'. |
| ClientApplicationsFromVerifiedPublisherOnly | Stel deze switch zo in dat deze alleen overeenkomt met clienttoepassingen met geverifieerde uitgevers. Schakel deze schakeloptie (-ClientApplicationsFromVerifiedPublisherOnly:$false) uit om overeen te komen met een client-app, zelfs als deze geen geverifieerde uitgever heeft. Standaard is $false. |
Waarschuwing
Verwijderd toestemmingsbeleid voor groepseigenaars kan niet worden hersteld. Als u per ongeluk een aangepast toestemmingsbeleid voor groepseigenaars verwijdert, moet u het beleid opnieuw maken.
Hulp krijgen of antwoorden op uw vragen vinden: