Planear a autenticação e as permissões

Aplica-se a: Programador

Utilize este artigo para planear a autenticação e autorização de uma aplicação Do SharePoint Embedded.

As aplicações do SharePoint Embedded utilizam o Microsoft Graph para aceder a contentores e conteúdos.

Para obter a referência de autenticação completa, veja Autenticação e autorização do SharePoint Embedded.

Princípios fundamentais

A autenticação e autorização do SharePoint Embedded seguem estes princípios:

  • As aplicações interagem com o SharePoint Embedded através do Microsoft Graph.
  • As aplicações precisam de permissões de aplicação de tipo de contentor para aceder a contentores desse tipo de contentor.
  • As aplicações só podem aceder a contentores dos quais o utilizador seja membro ao utilizar o acesso em nome de um utilizador.
  • As aplicações podem aceder a todos os contentores ativados pelas respetivas permissões de aplicação de tipo de contentor ao utilizar o acesso sem um utilizador.
  • As aplicações devem utilizar o acesso em nome dos utilizadores sempre que possível para melhorar a segurança e a responsabilidade.

Pré-requisitos

Plano para:

  • Um Microsoft Entra ID registo de aplicação.
  • Uma subscrição do Microsoft 365 no inquilino do Microsoft Entra ID.
  • Permissões do Microsoft Graph para operações do SharePoint Embedded.
  • Permissões de aplicação do tipo de contentor concedidas através do registo de tipo de contentor.
  • Administração consentimento no inquilino que consome.

Camadas de permissão

O acesso ao SharePoint Embedded tem várias camadas.

Camada Objetivo
Permissão do Microsoft Graph Permite que a aplicação chame pontos finais do SharePoint Embedded.
Permissão de aplicação do tipo de contentor Permite que a aplicação aceda a contentores de um tipo de contentor específico.
Permissão de contentor Determina o que um utilizador pode fazer num contentor específico para acesso delegado.

Importante

As permissões do Microsoft Graph por si só não concedem acesso a contentores. A aplicação também tem de ter permissão para um tipo de contentor.

Acesso delegado

Acesso delegado significa que a aplicação age em nome de um utilizador.

As operações do SharePoint Embedded em nome de um utilizador requerem a permissão delegada do Microsoft Graph FileStorageContainer.Selected .

Esta permissão delegada não requer o consentimento do administrador no inquilino que está a consumir.

O utilizador também tem de ter permissões de contentor.

As permissões efetivas da aplicação são a interseção de:

  • As permissões de aplicação concedidas para o tipo de contentor.
  • As permissões do utilizador no contentor.

Utilize o acesso delegado sempre que possível.

O acesso delegado melhora a auditabilidade porque as ações podem ser associadas ao utilizador.

Acesso apenas à aplicação

O acesso apenas à aplicação significa que a aplicação age sem um utilizador.

As operações do SharePoint Embedded sem um utilizador necessitam da permissão da aplicação Microsoft Graph FileStorageContainer.Selected .

Esta permissão requer o consentimento do administrador no inquilino que está a consumir.

Com o acesso apenas à aplicação, a aplicação pode aceder a todos os contentores ativados pelas respetivas permissões de aplicação de tipo de contentor.

Utilize o acesso apenas à aplicação para operações em segundo plano que não podem ser executadas em nome de um utilizador.

Aplique menos privilégios ao conceder permissões de aplicação do tipo de contentor.

Um administrador no inquilino que está a consumir tem de consentir o pedido de permissão da aplicação.

Administração consentimento é necessário para a permissão da aplicaçãoFileStorageContainer.Selected. FileStorageContainer.Selected Delegado não requer consentimento do administrador.

O registo do tipo de contentor também requer consentimento para que a aplicação proprietária aja no inquilino que está a consumir.

Para o registo do tipo de contentor, veja Registar permissões de aplicação do tipo de contentor de armazenamento de ficheiros.

Permissões de tipo de contentor (Microsoft Graph)

A criação, gestão e registo do tipo de contentor são agora operações do Microsoft Graph. Planeie estas permissões:

Permissão Objetivo Tenant
FileStorageContainerType.Manage.All Crie e faça a gestão de tipos de contentor no inquilino proprietário. Apenas proprietário
FileStorageContainerTypeReg.Selected Registe o tipo de contentor no consumo de inquilinos. Consumo
FileStorageContainer.Selected Aceder a contentores do tipo de contentor no consumo de inquilinos. Consumo

FileStorageContainerType.Manage.All é uma permissão delegada e não requer consentimento do administrador. Qualquer utilizador não convidado no inquilino proprietário pode consentir, utilizá-lo para criar um tipo de contentor e, em seguida, ser automaticamente atribuído como proprietário desse tipo de contentor. (Antes de junho de 2026, isto exigia a função de Administrador Incorporado do SharePoint ou Administrador Global.)

Importante

FileStorageContainerType.Manage.All só é necessário no inquilino proprietário para criar o tipo de contentor. Remova-o do manifesto da aplicação antes de distribuir para consumir inquilinos para que os clientes não sejam solicitados permissões excessivas. Ao consumir apenas FileStorageContainerTypeReg.Selected pedidos de inquilinos e FileStorageContainer.Selected.

Permissões de aplicação do tipo de contentor

As permissões de aplicação do tipo de contentor são concedidas pela aplicação proprietária através do registo do tipo de contentor.

Estas permissões definem o que uma aplicação pode fazer em relação a contentores do tipo de contentor.

As permissões de aplicação do tipo de contentor incluem:

  • None
  • ReadContent
  • WriteContent
  • Create
  • Delete
  • Read
  • Write
  • EnumeratePermissions
  • AddPermissions
  • UpdatePermissions
  • DeletePermissions
  • DeleteOwnPermission
  • ManagePermissions
  • ManageContent
  • Full

Conceda apenas as permissões de que a aplicação precisa.

Por exemplo, não conceda Full a uma aplicação convidada em segundo plano se precisar apenas de acesso de leitura para cópia de segurança ou análise.

Permissões de contentor

As permissões de contentor aplicam-se aos utilizadores.

Aplicam-se apenas ao acesso em nome de um utilizador.

Qualquer utilizador que aceda a um contentor tem de ser membro do contentor.

A associação a contentores concede permissões de utilizador para esse contentor.

O SharePoint Embedded suporta estas funções de contentor:

Função Resumo
Leitor Leia as propriedades e os conteúdos do contentor.
Escritor Permissões de leitor, além de criar, atualizar e eliminar conteúdo e atualizar as propriedades de contentor aplicáveis.
Manager Permissões de escritor, além de gerir a associação ao contentor.
Proprietário Permissões de gestor e eliminar contentores.

Quando um utilizador cria um novo contentor através de chamadas delegadas, essa função de Proprietário é automaticamente atribuída a esse utilizador.

Proprietários de tipos de contentor

Os proprietários do tipo de contentor são distintos dos proprietários de contentores. Regem o próprio tipo de contentor, no inquilino proprietário .

  • Atribuição automática: o utilizador que cria um tipo de contentor é automaticamente atribuído como proprietário.
  • Adicionar ou remover proprietários: utilize a relação de tipo permissions de contentor (DELETE /storage/fileStorage/containerTypes/{id}/permissionsPOST/, beta) para gerir até três proprietários por tipo de contentor.
  • Capacidades: com FileStorageContainerType.Manage.All o modo delegado, os proprietários podem criar, ler, atualizar e eliminar o tipo de contentor que possuem, gerir os respetivos proprietários e criar contentores desse tipo (apenas chamadas delegadas).
  • Restrições: as identidades externas (utilizadores convidados) não podem ser proprietários de tipos de contentor. As informações de proprietário só existem no inquilino proprietário e não são propagadas para o consumo de inquilinos no registo.
  • Acesso efetivo: as capacidades de proprietário são permissões de utilizador; acesso efetivo é a interseção das permissões do Graph da aplicação e da função de proprietário.

Implicações no registo do tipo de contentor

Para que a aplicação proprietária aja num inquilino consumidor:

  • A aplicação proprietária tem de ter um principal de serviço instalado no inquilino que consome.
  • Tem de ser concedido consentimento do administrador à aplicação proprietária para efetuar o registo do tipo de contentor.
  • Apenas a aplicação proprietária do tipo de contentor pode invocar a API de registo no inquilino que está a consumir.

A API de registo especifica permissões para a aplicação proprietária e quaisquer aplicações convidadas.

A última chamada à API de registo com êxito determina as definições utilizadas no inquilino que está a consumir.

Padrões de acesso excecionais

Planeie operações que não sigam o padrão de autorização normal do Microsoft Graph.

Os padrões de acesso excecionais incluem:

  • Gestão do tipo de contentor na propriedade de inquilinos através do Microsoft Graph.
  • Registo de tipo de contentor no consumo de inquilinos através do Microsoft Graph (FileStorageContainerTypeReg.Selected).
  • Operações administrativas de contentores que requerem FileStorageContainer.Manage.All um administrador incorporado do SharePoint ou um utilizador com sessão iniciada pelo Administrador Global.
  • Cenários do Pesquisa da Microsoft que requerem permissões adicionais durante a pré-visualização.
  • Operações que necessitam atualmente de uma licença de utilizador.

Reveja-os antes de conceber funcionalidades com privilégios ou de pesquisa intensiva.

Considerações de segurança

  • Prefere o acesso delegado para operações orientadas pelo utilizador.
  • Utilize o acesso apenas à aplicação quando for necessário para operações de serviço.
  • Conceda o mínimo de privilégio ao nível do tipo de contentor.
  • Conceda o mínimo de privilégio ao nível de associação ao contentor.
  • Exigir consentimento do administrador no inquilino correto.
  • Tratar o registo como parte da integração do cliente.
  • Evite o acesso amplo à aplicação de convidado, a menos que o cenário o exija.
  • Reveja as implicações de auditoria e conformidade com os administradores de inquilinos.

Lista de verificação de planejamento

  • Registe a aplicação Microsoft Entra ID.
  • Decida que operações utilizam o acesso delegado.
  • Decida que operações utilizam o acesso apenas à aplicação.
  • Pedir permissões do Microsoft Graph FileStorageContainer.Selected .
  • Peça ao Microsoft Graph FileStorageContainerType.Manage.All (inquilino proprietário) e FileStorageContainerTypeReg.Selected (inquilinos que consomem) a criação e registo do tipo de contentor.
  • Planear o consentimento do administrador em cada inquilino que consome.
  • Definir permissões de aplicação do tipo de contentor.
  • Definir funções de contentor de utilizador.
  • Identifique quaisquer aplicações convidadas e as respetivas permissões.
  • Reveja padrões de acesso excecionais.

Próximas etapas

Rever restrições de dimensionamento e desempenho: compreender os limites e padrões de chamada.