Pré-aprovação de permissões RSC
Resource-Specific permissões de Consentimento (RSC) pré-aprovação fornece aos administradores um controlo granular sobre as permissões RSC que uma aplicação pode pedir após a instalação. As permissões RSC são concedidas a uma aplicação no momento em que a aplicação é instalada. Através da utilização de políticas de pré-aprovação, os administradores podem declarar antecipadamente as permissões máximas que uma aplicação pode pedir ao utilizador final e ser consentida durante o tempo de instalação.
Para que uma política de pré-aprovação de permissão RSC entre em vigor para uma aplicação, o administrador tem de garantir que a aplicação está ativada (instalável) na organização. Se a aplicação não for instalável, a pré-aprovação da permissão para essa aplicação específica torna-se irrelevante. Para obter mais informações sobre como ativar aplicações no Centro de Administração do Teams, veja Gerir aplicações no Centro de Administração do Teams.
Os administradores podem criar uma política de pré-aprovação detalhada, com base no ID da aplicação, nas permissões e na sensibilidade dos dados acedidos. A pré-aprovação das permissões RSC foi concebida para administradores que procuram criar políticas personalizadas avançadas para a sua organização.
Por predefinição, as políticas de pré-aprovação são geridas pela Microsoft e recomendamos que as organizações mantenham ManagedByMicrosoft o estado. Este estado permite que a equipa de segurança da Microsoft forneça a melhor segurança para a sua organização.
Observação
- A pré-aprovação das permissões RSC só está disponível na pré-visualização do programador público.
- A pré-aprovação das permissões RSC e os respetivos procedimentos operacionais estão sujeitos a alterações.
Configurar o PowerShell para gerir a pré-aprovação de permissões RSC
A pré-aprovação das permissões RSC é gerida através do Microsoft Graph PowerShell. Pode saber mais sobre como gerir o Microsoft Teams com o PowerShell aqui.
Para criar, gerir e eliminar políticas de pré-aprovação RSC, tem de conceder as seguintes permissões ao cmdlet do PowerShell:
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
Observação
Precisa de privilégios de nível de administrador global para ligar o Graph à sua organização pela primeira vez.
Segue-se um exemplo da configuração do PowerShell para gerir políticas pré-aprovadas de permissões RSC:
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
Permitir permissões RSC para aplicações na sua organização
Para as permissões RSC específicas da equipa e do chat, os administradores podem definir quatro estados diferentes para a sua organização. Para além do DisabledForAllApps estado, todos os outros estados permitem permissões RSC para graus diferentes. Estes estados podem ser definidos através Set-MgBetaChatRscConfiguration de cmdlets e Set-MgBetaTeamRscConfiguration .
Por exemplo, para permitir permissões RSC para todas as aplicações desbloqueadas na sua organização, utilize os Set-MgBetaTeamRscConfiguration -State EnabledForAllApps cmdlets.
Seguem-se os diferentes estados que permitem e não permitem permissões RSC na sua organização:
| Configuração | Descrição |
|---|---|
ManagedByMicrosoft |
Uma política dinâmica administrada pela Microsoft. Pode ser atualizado com base nas melhores práticas de segurança. Por predefinição, este estado ativa o RSC para todas as aplicações desbloqueadas na organização. |
EnabledForAllApps |
Os utilizadores podem consentir permissões RSC para quaisquer aplicações desbloqueadas na organização. |
EnabledForPreApprovedAppsOnly |
Os utilizadores na organização podem consentir apenas as aplicações desbloqueadas que também têm uma política de pré-aprovação explícita associada às mesmas. Esta opção só tem de ser utilizada se o administrador quiser limitar explicitamente as permissões RSC permitidas por aplicação. |
DisabledForAllApps |
Os utilizadores não podem consentir as permissões RSC exigidas por nenhuma aplicação, mesmo que a aplicação esteja desbloqueada na organização. Aviso: Este estado não permite a instalação de aplicações que precisam de permissões RSC. |
Aviso
Se alterar a configuração do chat ou do RSC da equipa para DisabledForAllApps, esta desativa a pré-aprovação no seu inquilino e os utilizadores detetam erros quando instalam aplicações ativadas para RSC.
Ativar permissões RSC para todas as aplicações desbloqueadas na organização
Pode ativar o RSC para todas as aplicações desbloqueadas na sua organização com cmdlets do PowerShell ao alterar o estado da definição de permissão RSC para EnabledForAllApps. Pode definir o estado para as definições do RSC de chat e de equipa na sua organização da seguinte forma:
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
Ativar o RSC apenas para um conjunto específico de aplicações
Pode criar uma política de pré-aprovação para aplicações específicas com as permissões e etiquetas de confidencialidade dos dados que pretende pré-aprovar. As secções seguintes mostram como criar uma política de pré-aprovação com e sem uma etiqueta de confidencialidade anexada.
Criar uma política de pré-aprovação com base no ID da aplicação e nas permissões
As políticas de pré-aprovação permitem que os utilizadores na sua organização consoante as permissões de RSC para um conjunto específico de aplicações. Isto implica que pode determinar a que aplicações ativadas por RSC a sua organização pode aceder, sem limitar as permissões de RSC para todas as aplicações na sua organização.
Para criar uma política de pré-aprovação sem uma etiqueta de confidencialidade, certifique-se de que tem as seguintes informações:
- ID da Aplicação do Teams.
- As permissões RSC associadas à aplicação.
- Privilégio de administrador global ou de equipa no seu inquilino.
Pode utilizar cmdlets do PowerShell para criar uma política de pré-aprovação. Para criar o cmdlet, tem de obter as informações mencionadas anteriormente com o New-MgBetaTeamAppPreApproval comando e especificar uma das seguintes permissões RSC que pretende pré-aprovar no cmdlet:
| Configuração | Descrição |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilize esta configuração ao criar uma política de pré-aprovação para permissões RSC para um chat. Para obter uma lista de todas as permissões, veja Permissões RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilize esta configuração ao criar uma política de pré-aprovação para permissões RSC para uma equipa. Para obter uma lista de todas as permissões, veja Permissões RSC. |
Pré-aprovar uma aplicação com permissões RSC de equipa
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Pré-aprovar uma aplicação com permissões RSC de chat
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
Pré-aprovar uma aplicação com permissões RSC de equipa e chat
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Aviso
A criação da política de pré-aprovação poderá falhar se ligar as permissões erradas ao tipo de permissão errado no seu cmdlet. Certifique-se de que as permissões RSC de chat terminam com .Chat e que as permissões do RSC da equipa terminam com .Group.
Criar uma política de pré-aprovação com base no ID da aplicação, permissões e etiquetas de confidencialidade
As políticas de pré-aprovação podem ser criadas para pré-aprovar permissões RSC em determinadas etiquetas de confidencialidade no seu inquilino. Isto permite-lhe controlar os dados aos quais as aplicações compatíveis com RSC podem aceder. Aqui, pode aprender o processo para criar uma política de pré-aprovação com base na confidencialidade dos dados.
Também pode criar uma política de pré-aprovação para permissões específicas, além de etiquetas de confidencialidade específicas. Pode permitir que todos os pedidos de consentimento RSC sejam aprovados para uma permissão específica. Para criar uma política de pré-aprovação, certifique-se de que tem as seguintes informações:
- ID da Aplicação do Teams.
- As permissões RSC associadas à aplicação.
- O ID da etiqueta de confidencialidade associado à etiqueta de confidencialidade. Isto não é necessário se quiser que a política se aplique a todas as etiquetas de confidencialidade ou se pré-aprovar apenas permissões RSC de chat.
- Privilégio de administrador global ou de equipa no seu inquilino.
Pode utilizar cmdlets do PowerShell para criar uma política de pré-aprovação. Para criar o cmdlet, tem de obter as informações mencionadas anteriormente com o New-MgBetaTeamAppPreApproval comando e especificar uma das seguintes permissões RSC que pretende pré-aprovar no cmdlet:
| Configuração | Descrição |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilize esta configuração quando criar uma política de pré-aprovação para permissões RSC para um chat. Para obter a lista de todas as permissões, veja Permissões RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilize esta configuração quando criar uma política de pré-aprovação para permissões RSC para uma equipa. Para obter a lista de todas as permissões, veja Permissões RSC. |
Pode utilizar os SpecificSensitivityLabel argumentos para definir etiquetas de confidencialidade específicas para aplicar a política de pré-aprovação do RSC.
Seguem-se um exemplo de cmdlets que utilizam estes argumentos:
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
Alterar a configuração do RSC para permitir apenas aplicações com políticas de pré-aprovação personalizadas definidas
Depois de criar as políticas de pré-aprovação, altere as definições de RSC da sua organização para utilizar a nova política. Esta definição é mais restritiva e pode fazer com que algumas aplicações não funcionem para os seus utilizadores finais. Para efetuar esta alteração, altere o estado das definições de RSC da sua organização. O exemplo seguinte mostra os cmdlets do PowerShell necessários:
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
Gerir as políticas pré-aprovadas existentes
Depois de criar uma política de pré-aprovação, pode modificar a política para alterar as permissões e a etiqueta de confidencialidade da política. Quando as aplicações são lançadas com permissões adicionais, tem de atualizar a política de pré-aprovação dessa aplicação para adicionar as novas permissões, garantindo que a aplicação pode ser instalada no seu inquilino. Precisa das mesmas informações para gerir uma política de pré-aprovação existente e criar uma nova política de pré-aprovação.
Também pode eliminar uma política de pré-aprovação existente se quiser parar de pré-preparar a permissão RSC de uma aplicação existente.
Atualizar uma política pré-aplicação existente
Pode atualizar uma política de pré-aprovação com o Update-MgBetaTeamAppPreApproval cmdlet . Quando especificar as permissões a atualizar, tem de distinguir o tipo de permissões RSC.
As seguintes configurações RSC estão disponíveis para gerir uma política pré-aplicação existente:
| Configuração | Descrição |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Utilize esta configuração quando criar uma política de pré-aprovação para permissões RSC para um chat. Para obter a lista de todas as permissões, veja Permissões RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Utilize esta configuração quando criar uma política de pré-aprovação para permissões RSC para uma equipa, utilize esta configuração. Para obter a lista de todas as permissões, veja Permissões RSC. |
Atualizar a política de pré-aprovação para o chat RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
Atualizar a política de pré-aprovação para o RSC da equipa
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Se quiser alterar a política de pré-aprovação de uma etiqueta de confidencialidade definida para todas as etiquetas de confidencialidade, tem de repor o valor do SpecificSensitivityLabel argumento na política de pré-aprovação. Pode fazê-lo ao definir o AnySensitivityLabel argumento como nulo da seguinte forma:
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
Observação
Tem de incluir todas as permissões relevantes no seu Update-MgBetaTeamAppPreApproval cmdlet, mesmo que já as tenha declarado na pré-aprovação existente.
Eliminar uma política pré-aplicação existente
Se quiser parar de pré-preparar a permissão RSC de uma aplicação existente, pode eliminar a política de pré-aprovação dessa aplicação. Para eliminar uma política de pré-aprovação, certifique-se de que tem o ID da Aplicação.
Pode eliminar a política de pré-aprovação associada a uma aplicação com o seguinte cmdlet do PowerShell:
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e