Dela via

Konfigurera grupp- och teamägarens medgivande till program

  • Artikel

I den här artikeln får du lära dig hur du konfigurerar hur grupp- och teamägare godkänner program och hur du inaktiverar alla framtida grupp- och teamägares medgivandeåtgärder för program.

Grupp- och teamägare kan auktorisera program, till exempel program som publicerats av tredjepartsleverantörer, för att få åtkomst till organisationens data som är associerade med en grupp. En gruppägare i Microsoft Teams kan till exempel tillåta att en app läser alla Teams-meddelanden i teamet eller listar den grundläggande profilen för en grupps medlemmar. Mer information finns i Resursspecifikt medgivande i Microsoft Teams .

Medgivande för gruppägare kan hanteras på två olika sätt: via Administrationscenter för Microsoft Entra och skapande av principer för appmedgivande. I administrationscentret för Microsoft Entra kan du aktivera alla gruppers ägare, aktivera vald gruppägare eller inaktivera gruppägares möjlighet att ge medgivande till program. Å andra sidan kan du med appmedgivandeprinciper ange vilken appmedgivandeprincip som styr gruppens ägarmedgivande för program. Sedan har du flexibiliteten att tilldela antingen en inbyggd Microsoft-princip eller skapa en egen anpassad princip för att effektivt hantera medgivandeprocessen för gruppägare.

Innan du skapar principen för appmedgivande för att hantera gruppens ägarmedgivande måste du inaktivera inställningen för gruppägares medgivande via administrationscentret för Microsoft Entra. Om du inaktiverar den här inställningen kan gruppägarens medgivande omfattas av principer för appmedgivande. Du kan lära dig hur du inaktiverar inställningen för gruppägares medgivande på olika sätt i den här artikeln. Läs mer om att hantera samtycke för gruppägare efter principer för appmedgivande som är skräddarsydda för dina behov.

Förutsättningar

För att konfigurera medgivande för grupp- och teamägare behöver du:

Du kan konfigurera vilka användare som får samtycka till att appar får åtkomst till sina gruppers eller teams data, eller så kan du inaktivera inställningen för alla användare.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här konfigurerar du inställningar för grupp- och gruppägares medgivande via administrationscentret för Microsoft Entra:

Följ de här stegen för att hantera gruppägarens medgivande till appar som har åtkomst till gruppdata:

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Medgivande och behörigheter>Inställningar för användarmedgivande.
  3. Under Gruppägares medgivande för appar som har åtkomst till data väljer du det alternativ som du vill aktivera.
  4. Spara inställningarna genom att välja Spara.

I det här exemplet får alla gruppägare godkänna att appar får åtkomst till sina gruppers data:

Inställningar för medgivande för gruppägare

Du kan använda Microsoft Graph PowerShell-modulen för att aktivera eller inaktivera gruppägares möjlighet att godkänna program som har åtkomst till organisationens data för de grupper de äger. Cmdletarna i det här avsnittet ingår i modulen Microsoft.Graph.Identity.SignIns .

Anslut till Microsoft Graph PowerShell och logga in som minst en Privilegierad rolladministratör. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All behörighet. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization behörighet.

  1. Ändra profilen till beta med hjälp Select-MgProfile av kommandot .

    Select-MgProfile -Name "beta"

  2. Använd behörigheten med minst behörighet

    Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

# If you need to create a new setting based on the templates, please use this permission
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

Hämta den aktuella inställningen med Hjälp av Microsoft Graph PowerShell

Hämta det aktuella värdet för inställningarna för medgivandeprincip Inställningar katalog i klientorganisationen. Detta kräver att du kontrollerar om kataloginställningarna för den här funktionen har skapats och om inte, med hjälp av värdena från motsvarande kataloginställningarmall.

$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }

if (-not $settings) {
    $template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
    $body = @{
                "templateId" = $template.Id
                "values" = @(
                    @{
                        "name" = "EnableGroupSpecificConsent"
                        "value" = $true
                    },
                    @{
                        "name" = "BlockUserConsentForRiskyApps"
                        "value" = $true
                    },
                    @{
                        "name" = "EnableAdminConsentRequests"
                        "value" = $true
                    },
                    @{
                        "name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
                        "value" = ""
                    }
                )
    }
    $settings = New-MgDirectorySetting -BodyParameter $body
}

$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }

Förstå inställningsvärdena i Microsoft Graph PowerShell

Det finns två inställningsvärden som definierar vilka användare som ska kunna tillåta att en app får åtkomst till gruppens data:

Inställning Typ Beskrivning
EnableGroupSpecificConsent Booleskt Flagga som anger om gruppägare tillåts bevilja gruppspecifika behörigheter.
ConstrainGroupSpecificConsentToMembersOfGroupId GUID Om EnableGroupSpecificConsent är inställt på "True" och det här värdet är inställt på en grupps objekt-ID, kommer medlemmar i den identifierade gruppen att ha behörighet att bevilja gruppspecifika behörigheter till de grupper som de äger.

Uppdatera inställningsvärden för önskad konfiguration med Hjälp av Microsoft Graph PowerShell

# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""

# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""

# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"

Spara dina inställningar med Microsoft Graph PowerShell


```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values

Så här hanterar du inställningar för grupp- och gruppägares medgivande via kataloginställning med Hjälp av Graph Explorer:

Du måste logga in som privilegierad rolladministratör. Om du vill läsa de aktuella inställningarna för Policy.Read.All användarmedgivande godkänner du behörighet. Om du vill läsa och ändra inställningarna för Policy.ReadWrite.Authorization användarmedgivande godkänner du behörighet.

Hämta den aktuella inställningen med Hjälp av Microsoft Graph API

Hämta det aktuella värdet för medgivandeprincipen Inställningar från administrationscentret för Microsoft Entra i din klientorganisation. Detta kräver att du kontrollerar om kataloginställningarna för den här funktionen har skapats, och om inte använder du det andra Microsoft Graph-anropet för att skapa motsvarande kataloginställningar.

GET https://graph.microsoft.com/beta/settings

Response

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": [
        {
            "id": "{ directorySettingId }",
            "displayName": "Consent Policy Settings",
            "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
            "values": [
            {
                    "name": "EnableGroupSpecificConsent",
                    "value": "true"
                },
                {
                    "name": "BlockUserConsentForRiskyApps",
                    "value": "true"
                },
                {
                    "name": "EnableAdminConsentRequests",
                    "value": "true"
                },
                {
                    "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
                    "value": ""
                }
            ]
        }
    ]
}

skapa motsvarande kataloginställningar om är value tom (se nedan som ett exempel).

GET https://graph.microsoft.com/beta/settings

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
    "value": []
}

POST https://graph.microsoft.com/beta/settings
{
    "templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Förstå inställningsvärdena i Microsoft Graph API

Det finns två inställningsvärden som definierar vilka användare som ska kunna tillåta att en app får åtkomst till gruppens data:

Inställning Typ Beskrivning
EnableGroupSpecificConsent Booleskt Flagga som anger om gruppägare tillåts bevilja gruppspecifika behörigheter.
ConstrainGroupSpecificConsentToMembersOfGroupId GUID Om EnableGroupSpecificConsent är inställt på "True" och det här värdet är inställt på en grupps objekt-ID, kommer medlemmar i den identifierade gruppen att ha behörighet att bevilja gruppspecifika behörigheter till de grupper som de äger.

Uppdatera inställningsvärden för önskad konfiguration med hjälp av Microsoft Graph API

Ersätt {directorySettingId} med det faktiska ID:t i value samlingen när du hämtar den aktuella inställningen

Inaktivera gruppspecifikt medgivande helt

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "false"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Aktivera gruppspecifikt medgivande för alla användare

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": ""
        }
    ]
}

Aktivera gruppspecifikt medgivande för användare i en viss grupp

PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
    "values": [
        {
            "name": "EnableGroupSpecificConsent",
            "value": "true"
        },
        {
            "name": "BlockUserConsentForRiskyApps",
            "value": "true"
        },
        {
            "name": "EnableAdminConsentRequests",
            "value": "true"
        },
        {
            "name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
            "value": "{group-object-id}"
        }
    ]
}

Kommentar

Användaren kan godkänna att appar som har åtkomst till företagsdata för deras räkning , när de inaktiveras, inte inaktiverar användare kan samtycka till att appar får åtkomst till företagsdata för grupper som de äger alternativet.

Du kan konfigurera vilka användare som får samtycka till att appar får åtkomst till sina gruppers eller teams data via principer för appmedgivande. Om du vill tillåta gruppägares medgivande enligt principer för appmedgivande måste inställningen för gruppägares medgivande inaktiveras. När den här principen har inaktiverats läss den från principer för appmedgivande.

Om du vill välja vilken appmedgivandeprincip som styr användarens medgivande för program kan du använda Microsoft Graph PowerShell-modulen . De cmdletar som används här ingår i modulen Microsoft.Graph.Identity.SignIns .

Anslut till Microsoft Graph PowerShell med den behörighet med minst behörighet som krävs. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization. Du måste logga in som privilegierad rolladministratör.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

  1. Kontrollera om ManagePermissionGrantPoliciesForOwnedResource är omfånget är i group.

    1. Hämta det aktuella värdet för inställningen för gruppens ägarmedgivande.

        Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned

    Om ManagePermissionGrantPoliciesForOwnedResource returneras i PermissionGrantPoliciesAssignedkan inställningen för gruppägares medgivande ha styrts av principen för appmedgivande.

    1. Kontrollera om principen är begränsad till group.

        Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties

      Om resourceScopeType == grouphar inställningen för gruppägarens medgivande styrts av principen för appmedgivande.

  2. Om du vill inaktivera gruppägarens medgivande att använda principer för appmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller den aktuella ManagePermissionGrantsForSelf.* principen och andra aktuella ManagePermissionGrantsForOwnedResource.* principer som inte är tillämpliga på grupper när samlingen uppdateras. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

    # only exclude policies that are scoped in group
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Om du vill tillåta att gruppägarens medgivande omfattas av en appmedgivandeprincip väljer du vilken appmedgivandeprincip som ska styra gruppägarnas behörighet att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller den aktuella ManagePermissionGrantsForSelf.* principen och andra ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Ersätt {app-consent-policy-id-for-group} med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:

ID beskrivning
microsoft-pre-approval-apps-for-group Tillåt endast gruppägares medgivande till förgodkända appar
Tillåt endast gruppägares medgivande för appar som förhandsgodkänts av administratörer för de grupper de äger.
microsoft-all-application-permissions-for-group Tillåt gruppägares medgivande till appar
Med det här alternativet kan alla gruppägare samtycka till alla behörigheter som inte kräver administratörsmedgivande, för alla program, för de grupper de äger. Den innehåller appar som har godkänts i förväg av behörighet bevilja förhandsgodkännandeprincip för gruppresursspecifikt medgivande.

Om du till exempel vill aktivera gruppägares medgivande enligt den inbyggda principen microsoft-all-application-permissions-for-groupkör du följande kommandon:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Använd Graph Explorer för att välja vilken princip för gruppägares medgivande som styr ägare av användarmedgivandegruppers möjlighet att samtycka till program som har åtkomst till organisationens data för de grupper som de äger.

  1. Kontrollera om ManagePermissionGrantPoliciesForOwnedResource är omfånget är i group.

    1. Hämta det aktuella värdet för inställningen för gruppägarens medgivande
    GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy

    Om ManagePermissionGrantsForOwnedResource returneras i permissionGrantPolicyIdsAssignedToDefaultUserRolekan inställningen för gruppägares medgivande ha styrts av principen för appmedgivande.

    2.Kontrollera om principen är begränsad till group.

    GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}

    Om resourceScopeType == grouphar inställningen för gruppägarens medgivande styrts av principen för appmedgivande.

  2. Om du vill inaktivera gruppägarens medgivande att använda principer för appmedgivande kontrollerar du att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller den aktuella ManagePermissionGrantsForSelf.* principen och andra aktuella ManagePermissionGrantsForOwnedResource.* principer som inte är tillämpliga på grupper. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

    PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy
{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}"
         ]
     }
 }

Om du vill tillåta att gruppägarens medgivande omfattas av en appmedgivandeprincip väljer du vilken appmedgivandeprincip som ska styra gruppägarnas behörighet att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned) innehåller den aktuella ManagePermissionGrantsForSelf.* principen och andra aktuella ManagePermissionGrantsForOwnedResource.* principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
        "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
        "managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
   }
}

Ersätt {app-consent-policy-id-for-group} med ID:t för den princip som du vill använda för grupper. Du kan välja en princip för anpassat appmedgivande för grupper som du har skapat, eller så kan du välja mellan följande inbyggda principer:

ID beskrivning
microsoft-pre-approval-apps-for-group Tillåt endast gruppägares medgivande till förgodkända appar
Tillåt endast gruppägares medgivande för appar som förhandsgodkänts av administratörer för de grupper de äger.
microsoft-all-application-permissions-for-group Tillåt gruppägares medgivande till appar
Med det här alternativet kan alla gruppägare samtycka till alla behörigheter som inte kräver administratörsmedgivande, för alla program, för de grupper de äger. Den innehåller appar som har godkänts i förväg av behörighet bevilja förhandsgodkännandeprincip för gruppresursspecifikt medgivande.

Om du till exempel vill aktivera gruppägarens medgivande enligt den inbyggda principen microsoft-pre-approval-apps-for-groupanvänder du följande PATCH-kommando:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.{current-policy-for-user-consent}",
            "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
            "managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
        ]
    }
}

Nästa steg

Så här får du hjälp eller svar på dina frågor: