Configurar o consentimento do proprietário do grupo e da equipe para os aplicativos

Neste artigo, você aprenderá a configurar a forma como os proprietários de grupos e equipes consentem com os aplicativos e a desativar todas as operações futuras de consentimento de proprietários de grupos e equipes com os aplicativos.

Os proprietários do grupo e da equipe podem autorizar que aplicativos, como aplicativos publicados por fornecedores terceirizados, acessem os dados da sua organização associados a um grupo. Por exemplo, um proprietário de equipe no Microsoft Teams pode permitir que um aplicativo leia todas as mensagens do Teams na equipe ou liste o perfil básico dos membros de um grupo. Consulte Consentimento específico de recursos no Microsoft Teams para saber mais.

O consentimento do proprietário do grupo pode ser gerenciado de duas maneiras separadas: por meio do centro de administração do Microsoft Entra e da criação de políticas de consentimento do aplicativo. No centro de administração do Microsoft Entra, você pode habilitar o proprietário de todos os grupos, habilitar o proprietário do grupo selecionado ou desabilitar a capacidade dos proprietários do grupo de dar consentimento aos aplicativos. Por outro lado, as políticas de consentimento do aplicativo permitem que você especifique qual política de consentimento do aplicativo rege o consentimento do proprietário do grupo para aplicativos. Em seguida, você tem a flexibilidade de atribuir uma política interna da Microsoft ou criar sua própria política personalizada para gerenciar efetivamente o processo de consentimento para os proprietários do grupo.

Antes de criar a política de consentimento do aplicativo para gerenciar o consentimento do proprietário do grupo, você precisa desabilitar a configuração de consentimento do proprietário do grupo gerenciada pelo centro de administração do Microsoft Entra. Desabilitar essa configuração permite o consentimento do proprietário do grupo sujeito às políticas de consentimento do aplicativo. Você pode aprender a desabilitar a configuração de consentimento do proprietário do grupo de várias maneiras neste artigo. Saiba mais sobre como gerenciar o consentimento do proprietário do grupo por políticas de consentimento do aplicativo adaptadas às suas necessidades.

Pré-requisitos

Para configurar o consentimento do proprietário do grupo e da equipe, você precisa de:

• De uma conta de usuário. Se ainda não tem uma, crie uma conta gratuita.
• A Função Administrador Global.

Gerenciar o consentimento do proprietário do grupo para aplicativos usando o Centro de administração do Microsoft Entra

Você pode configurar quais usuários têm permissão para consentir que os aplicativos acessem dados de seus grupos ou equipes ou pode desabilitar o recurso para todos os usuários.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para definir as configurações de consentimento do proprietário do grupo e da equipe por meio do centro de administração do Microsoft Entra:

Siga estas etapas para gerenciar o consentimento do proprietário do grupo para aplicativos que acessam dados do grupo:

1. Entre no centro de administração do Microsoft Entra como Administrador global.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.
3. Em Consentimento do proprietário do grupo em aplicativos que acessam dados, selecione a opção que deseja habilitar.
4. Selecione salvar para salvar suas configurações.

Neste exemplo, todos os proprietários de grupo têm permissão para dar consentimento aos aplicativos que acessam os dados de seus grupos:

Você pode usar o módulo de versão prévia do Microsoft Graph PowerShell para habilitar ou desabilitar a capacidade dos proprietários do grupo de dar consentimento a aplicativos que acessam os dados da sua organização nos grupos que eles possuem. Os cmdlets nesta seção fazem parte do módulo Microsoft.Graph.Identity.SignIns.

Conecte-se ao Microsoft Graph PowerShell e entre como administrador global. Para ler as configurações atuais de consentimento do usuário, use a permissão Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use a permissão Policy.ReadWrite.Authorization.

1. Altere o perfil para beta usando o comando Select-MgProfile.

   Select-MgProfile -Name "beta"
   

2. Usar a permissão de privilégio mínimo

   Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
   
   # If you need to create a new setting based on the templates, please use this permission
   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

Recuperar a configuração atual usando o PowerShell do Microsoft Graph

Recupere o valor atual das configurações do diretório Configurações de Política de Consentimento em seu locatário. Isso exige verificar se as configurações de diretório para esse recurso foram criadas e, se não, usar os valores do modelo de configurações de diretório correspondente.

$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }

if (-not $settings) {
    $template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
    $body = @{
                "templateId" = $template.Id
                "values" = @(
                    @{
                        "name" = "EnableGroupSpecificConsent"
                        "value" = $true
                    },
                    @{
                        "name" = "BlockUserConsentForRiskyApps"
                        "value" = $true
                    },
                    @{
                        "name" = "EnableAdminConsentRequests"
                        "value" = $true
                    },
                    @{
                        "name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                        "value" = ""
                    }
                )
    }
    $settings = New-MgDirectorySetting -BodyParameter $body
}

$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }

Entender os valores de configuração no PowerShell do Microsoft Graph

Há dois valores de configurações que definem quais usuários podem permitir que um aplicativo acesse os dados do seu grupo:

Configuração	Type	Descrição
EnableGroupSpecificConsent	Boolean	Sinalizador que indica se os proprietários de grupos têm permissão para conceder permissões específicas do grupo.
ConstrainGroupSpecificConsentToMembersOfGroupId	Guid	Se EnableGroupSpecificConsent for definido como "true" e esse valor for definido como a ID de objeto de um grupo, os membros do grupo identificado terão autorização para conceder permissões específicas do grupo aos grupos que eles possuem.

Atualizar valores de configurações para a configuração desejada usando o PowerShell do Microsoft Graph

# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""

# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""

# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"

Salvar suas configurações usando o PowerShell do Microsoft Graph

```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values

Para gerenciar as configurações de consentimento do proprietário do grupo e da equipe por meio da configuração de diretório pelo Graph Explorer:

Você deve entrar como um administrador global. Para ler as configurações atuais de consentimento do usuário, dê consentimento para a permissão Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, dê consentimento para a permissão Policy.ReadWrite.Authorization.

Recuperar a configuração atual usando a API do Microsoft Graph

Recupere o valor atual de Configurações de política de consentimento no centro de administração do Microsoft Entra em seu locatário. Para isso, é necessário verificar se as configurações do diretório para esse recurso foram criadas e, caso contrário, usar a segunda chamada do Microsoft Graph para criar as configurações do diretório correspondentes.

GET https://graph.microsoft.com/beta/settings

Resposta

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": [
        {
            "id": "{ directorySettingId }",
            "displayName": "Consent Policy Settings",
            "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
            "values": [
            {
                    "name": "EnableGroupSpecificConsent",
                    "value": "true"
                },
                {
                    "name": "BlockUserConsentForRiskyApps",
                    "value": "true"
                },
                {
                    "name": "EnableAdminConsentRequests",
                    "value": "true"
                },
                {
                    "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
                    "value": ""
                }
            ]
        }
    ]
}

crie as configurações do diretório correspondentes se o value estiver vazio (veja abaixo como exemplo).

GET https://graph.microsoft.com/beta/settings

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": []
}

POST https://graph.microsoft.com/beta/settings
{
    "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Entender os valores de configuração na API do Microsoft Graph

Há dois valores de configurações que definem quais usuários podem permitir que um aplicativo acesse os dados do seu grupo:

Configuração	Type	Descrição
EnableGroupSpecificConsent	Boolean	Sinalizador que indica se os proprietários de grupos têm permissão para conceder permissões específicas do grupo.
ConstrainGroupSpecificConsentToMembersOfGroupId	Guid	Se EnableGroupSpecificConsent for definido como "true" e esse valor for definido como a ID de objeto de um grupo, os membros do grupo identificado terão autorização para conceder permissões específicas do grupo aos grupos que eles possuem.

Atualizar valores de configurações para a configuração desejada usando a API do Microsoft Graph

Substitua {directorySettingId} pela ID real na coleção value ao recuperar a configuração atual

Desabilitar totalmente o consentimento específico do grupo

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "false"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Habilitar o consentimento específico do grupo para todos os usuários

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Habilitar o consentimento específico do grupo para usuários em um determinado grupo

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": "{group-object-id}"
        }
    ]
}

Observação

A configuração O usuário pode consentir que aplicativos acessem dados da empresa em seu nome, quando desativada, não desabilita a opção Os usuários podem consentir que aplicativos acessem dados da empresa para grupos de sua propriedade.

Gerenciar o consentimento do proprietário do grupo para aplicativos por política de consentimento do aplicativo

Você pode configurar quais usuários têm permissão para consentir com aplicativos que acessam os dados de seus grupos ou equipes por meio de políticas de consentimento do aplicativo. Para permitir o consentimento do proprietário do grupo sujeito a políticas de consentimento do aplicativo, a configuração de consentimento do proprietário do grupo deve ser desabilitada. Depois de desabilitada, sua política atual é lida das políticas de consentimento do aplicativo.

Para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos, você pode usar o módulo Microsoft Graph PowerShell. Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns.

Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégio mínimo necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization. Você deve entrar como um administrador global

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Desabilitar o consentimento do proprietário do grupo para usar políticas de consentimento do aplicativo usando o PowerShell do Microsoft Graph

1. Verifique se ManagePermissionGrantPoliciesForOwnedResource está no escopo group.

   1. Recupere o valor atual para a configuração de consentimento do proprietário do grupo.

        Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
      

   Se ManagePermissionGrantPoliciesForOwnedResource for retornado no PermissionGrantPoliciesAssigned, a configuração de consentimento do proprietário do grupo poderá ter sido regida pela política de consentimento do aplicativo.

   1. Verifique se a política está no escopo group.

        Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties
      

      Se resourceScopeType == group, a configuração de consentimento do proprietário do grupo foi regida pela política de consentimento do aplicativo.

2. Para desabilitar o consentimento do proprietário do grupo para utilizar políticas de consentimento do aplicativo, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem a política atual ManagePermissionGrantsForSelf.* e outras políticas atuais ManagePermissionGrantsForOwnedResource.*, se houver que não for aplicável a grupos durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

   # only exclude policies that are scoped in group
   $body = @{
       "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
           "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
           "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" 
       )
   }
   Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
   
   

Atribuir uma política de consentimento do aplicativo aos proprietários do grupo usando o PowerShell do Microsoft Graph

Para permitir o consentimento do proprietário do grupo sujeito a uma política de consentimento do aplicativo, escolha qual política de consentimento do aplicativo deve controlar a autorização dos proprietários do grupo para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem a política atual ManagePermissionGrantsForSelf.* e outras políticas ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Substitua {app-consent-policy-id-for-group} pela ID da política que deseja aplicar. Você pode escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:

ID	Descrição
microsoft-pre-approval-apps-for-group	Permitir o consentimento do proprietário do grupo somente para aplicativos pré-aprovados Permitir que os proprietários do grupo consentam apenas para aplicativos pré-aprovados pelos administradores para os grupos que possuem.
microsoft-all-application-permissions-for-group	Permitir o consentimento do proprietário do grupo para aplicativos Essa opção permite que todos os proprietários de grupos autorizem qualquer permissão que não exija autorização do administrador, para qualquer aplicativo, para os grupos dos quais são proprietários. Ele inclui aplicativos que foram pré-aprovados pela política de pré-aprovação de concessão de permissão para consentimento específico do recurso de grupo.

Por exemplo, para habilitar o consentimento do proprietário do grupo sujeito à política interna microsoft-all-application-permissions-for-group, execute os seguintes comandos:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Use o Explorador do Graph para escolher qual política de consentimento do proprietário do grupo rege a capacidade dos proprietários do grupo de consentimento do usuário de consentir com aplicativos que acessam os dados da sua organização para os grupos que eles possuem.

Desabilitar o consentimento do proprietário do grupo para usar políticas de consentimento do aplicativo usando a API do Microsoft Graph

1. Verifique se ManagePermissionGrantPoliciesForOwnedResource está no escopo group.

   1. Recuperar o valor atual para a configuração de consentimento do proprietário do grupo

   GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy
   

   Se ManagePermissionGrantsForOwnedResource for retornado no permissionGrantPolicyIdsAssignedToDefaultUserRole, a configuração de consentimento do proprietário do grupo poderá ter sido regida pela política de consentimento do aplicativo.

   2.Verifique se a política está no escopo group.

   GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}
   

   Se resourceScopeType == group, a configuração de consentimento do proprietário do grupo foi regida pela política de consentimento do aplicativo.

2. Para desabilitar o consentimento do proprietário do grupo para utilizar políticas de consentimento do aplicativo, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem a política atual ManagePermissionGrantsForSelf.* e outras políticas atuais ManagePermissionGrantsForOwnedResource.*, se houver que não for aplicável a grupos. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

   PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy
   {
       "defaultUserRolePermissions": {
           "permissionGrantPoliciesAssigned": [
               "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
               "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}"
            ]
        }
    }
   

Atribuir uma política de consentimento do aplicativo aos proprietários do grupo usando a API do Microsoft Graph

Para permitir o consentimento do proprietário do grupo sujeito a uma política de consentimento do aplicativo, escolha qual política de consentimento do aplicativo deve controlar a autorização dos proprietários do grupo para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem a política atual ManagePermissionGrantsForSelf.* e outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
   }
}

Substitua {app-consent-policy-id-for-group} pela ID da política que deseja aplicar para grupos. Você pode escolher uma política de consentimento de aplicativo personalizada para grupos que você criou ou pode escolher entre as seguintes políticas internas:

ID	Descrição
microsoft-pre-approval-apps-for-group	Permitir o consentimento do proprietário do grupo somente para aplicativos pré-aprovados Permitir que os proprietários do grupo consentam apenas para aplicativos pré-aprovados pelos administradores para os grupos que possuem.
microsoft-all-application-permissions-for-group	Permitir o consentimento do proprietário do grupo para aplicativos Essa opção permite que todos os proprietários de grupos autorizem qualquer permissão que não exija autorização do administrador, para qualquer aplicativo, para os grupos dos quais são proprietários. Ele inclui aplicativos que foram pré-aprovados pela política de pré-aprovação de concessão de permissão para consentimento específico do recurso de grupo.

Por exemplo, para habilitar o consentimento do proprietário do grupo sujeito à política integrada microsoft-pre-approval-apps-for-group, use o seguinte comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
            "managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
        ]
    }
}

Próximas etapas

• Gerenciar políticas de consentimento de proprietário do grupo

Para obter ajuda ou encontrar respostas às suas perguntas:

• Microsoft Entra ID no Microsoft Q&A