Konfigurera grupp- och teamägarens medgivande till program
I den här artikeln får du lära dig hur du konfigurerar hur grupp- och teamägare godkänner program och hur du inaktiverar alla framtida grupp- och teamägares medgivandeåtgärder för program.
Grupp- och teamägare kan auktorisera program, till exempel program som publicerats av tredjepartsleverantörer, för att få åtkomst till organisationens data som är associerade med en grupp. En gruppägare i Microsoft Teams kan till exempel tillåta att en app läser alla Teams-meddelanden i teamet eller listar den grundläggande profilen för en grupps medlemmar. Mer information finns i Resursspecifikt medgivande i Microsoft Teams .
Medgivande för gruppägare kan hanteras på två olika sätt: via Administrationscenter för Microsoft Entra och skapande av principer för appmedgivande. I administrationscentret för Microsoft Entra kan du aktivera alla gruppers ägare, aktivera vald gruppägare eller inaktivera gruppägares möjlighet att ge medgivande till program. Å andra sidan kan du med appmedgivandeprinciper ange vilken appmedgivandeprincip som styr gruppens ägarmedgivande för program. Sedan har du flexibiliteten att tilldela antingen en inbyggd Microsoft-princip eller skapa en egen anpassad princip för att effektivt hantera medgivandeprocessen för gruppägare.
Innan du skapar principen för appmedgivande för att hantera gruppens ägarmedgivande måste du inaktivera inställningen för gruppägares medgivande via administrationscentret för Microsoft Entra. Om du inaktiverar den här inställningen kan gruppägarens medgivande omfattas av principer för appmedgivande. Du kan lära dig hur du inaktiverar inställningen för gruppägares medgivande på olika sätt i den här artikeln. Läs mer om att hantera samtycke för gruppägare efter principer för appmedgivande som är skräddarsydda för dina behov.
Förutsättningar
För att konfigurera medgivande för grupp- och teamägare behöver du:
- Ett användarkonto. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
- En privilegierad rolladministratör.
Hantera gruppägarens medgivande till appar med hjälp av administrationscentret för Microsoft Entra
Du kan konfigurera vilka användare som får samtycka till att appar får åtkomst till sina gruppers eller teams data, eller så kan du inaktivera inställningen för alla användare.
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Så här konfigurerar du inställningar för grupp- och gruppägares medgivande via administrationscentret för Microsoft Entra:
Följ de här stegen för att hantera gruppägarens medgivande till appar som har åtkomst till gruppdata:
- Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
- Bläddra till Identity>Applications Enterprise-program>>Medgivande och behörigheter>Inställningar för användarmedgivande.
- Under Gruppägares medgivande för appar som har åtkomst till data väljer du det alternativ som du vill aktivera.
- Spara inställningarna genom att välja Spara.
I det här exemplet får alla gruppägare godkänna att appar får åtkomst till sina gruppers data:
Du kan använda Microsoft Graph PowerShell-modulen för att aktivera eller inaktivera gruppägares möjlighet att godkänna program som har åtkomst till organisationens data för de grupper de äger. Cmdletarna i det här avsnittet ingår i modulen Microsoft.Graph.Identity.SignIns .
Anslut till Microsoft Graph PowerShell och logga in som minst en Privilegierad rolladministratör. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All
behörighet. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization
behörighet.
Ändra profilen till beta med hjälp
Select-MgProfile
av kommandot .Select-MgProfile -Name "beta"
Använd behörigheten med minst behörighet
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization" # If you need to create a new setting based on the templates, please use this permission Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Hämta den aktuella inställningen med Hjälp av Microsoft Graph PowerShell
Hämta det aktuella värdet för inställningarna för medgivandeprincip Inställningar katalog i klientorganisationen. Detta kräver att du kontrollerar om kataloginställningarna för den här funktionen har skapats och om inte, med hjälp av värdena från motsvarande kataloginställningarmall.
$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }
if (-not $settings) {
$template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
$body = @{
"templateId" = $template.Id
"values" = @(
@{
"name" = "EnableGroupSpecificConsent"
"value" = $true
},
@{
"name" = "BlockUserConsentForRiskyApps"
"value" = $true
},
@{
"name" = "EnableAdminConsentRequests"
"value" = $true
},
@{
"name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
"value" = ""
}
)
}
$settings = New-MgDirectorySetting -BodyParameter $body
}
$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }
Förstå inställningsvärdena i Microsoft Graph PowerShell
Det finns två inställningsvärden som definierar vilka användare som ska kunna tillåta att en app får åtkomst till gruppens data:
Inställning | Typ | Beskrivning |
---|---|---|
EnableGroupSpecificConsent | Booleskt | Flagga som anger om gruppägare tillåts bevilja gruppspecifika behörigheter. |
ConstrainGroupSpecificConsentToMembersOfGroupId | GUID | Om EnableGroupSpecificConsent är inställt på "True" och det här värdet är inställt på en grupps objekt-ID, kommer medlemmar i den identifierade gruppen att ha behörighet att bevilja gruppspecifika behörigheter till de grupper som de äger. |
Uppdatera inställningsvärden för önskad konfiguration med Hjälp av Microsoft Graph PowerShell
# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""
# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""
# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"
Spara dina inställningar med Microsoft Graph PowerShell
```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values
Så här hanterar du inställningar för grupp- och gruppägares medgivande via kataloginställning med Hjälp av Graph Explorer:
Du måste logga in som privilegierad rolladministratör. Om du vill läsa de aktuella inställningarna för Policy.Read.All
användarmedgivande godkänner du behörighet. Om du vill läsa och ändra inställningarna för Policy.ReadWrite.Authorization
användarmedgivande godkänner du behörighet.
Hämta den aktuella inställningen med Hjälp av Microsoft Graph API
Hämta det aktuella värdet för medgivandeprincipen Inställningar från administrationscentret för Microsoft Entra i din klientorganisation. Detta kräver att du kontrollerar om kataloginställningarna för den här funktionen har skapats, och om inte använder du det andra Microsoft Graph-anropet för att skapa motsvarande kataloginställningar.
GET https://graph.microsoft.com/beta/settings
Response
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": [
{
"id": "{ directorySettingId }",
"displayName": "Consent Policy Settings",
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
]
}
skapa motsvarande kataloginställningar om är value
tom (se nedan som ett exempel).
GET https://graph.microsoft.com/beta/settings
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": []
}
POST https://graph.microsoft.com/beta/settings
{
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Förstå inställningsvärdena i Microsoft Graph API
Det finns två inställningsvärden som definierar vilka användare som ska kunna tillåta att en app får åtkomst till gruppens data:
Inställning | Typ | Beskrivning |
---|---|---|
EnableGroupSpecificConsent | Booleskt | Flagga som anger om gruppägare tillåts bevilja gruppspecifika behörigheter. |
ConstrainGroupSpecificConsentToMembersOfGroupId | GUID | Om EnableGroupSpecificConsent är inställt på "True" och det här värdet är inställt på en grupps objekt-ID, kommer medlemmar i den identifierade gruppen att ha behörighet att bevilja gruppspecifika behörigheter till de grupper som de äger. |
Uppdatera inställningsvärden för önskad konfiguration med hjälp av Microsoft Graph API
Ersätt {directorySettingId}
med det faktiska ID:t i value
samlingen när du hämtar den aktuella inställningen
Inaktivera gruppspecifikt medgivande helt
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "false"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Aktivera gruppspecifikt medgivande för alla användare
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Aktivera gruppspecifikt medgivande för användare i en viss grupp
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": "{group-object-id}"
}
]
}
Kommentar
Användaren kan godkänna att appar som har åtkomst till företagsdata för deras räkning , när de inaktiveras, inte inaktiverar användare kan samtycka till att appar får åtkomst till företagsdata för grupper som de äger alternativet.
Hantera gruppägares medgivande till appar efter appmedgivandeprincip
Du kan konfigurera vilka användare som får samtycka till att appar får åtkomst till sina gruppers eller teams data via principer för appmedgivande. Om du vill tillåta gruppägares medgivande enligt principer för appmedgivande måste inställningen för gruppägares medgivande inaktiveras. När den här principen har inaktiverats läss den från principer för appmedgivande.
Om du vill välja vilken appmedgivandeprincip som styr användarens medgivande för program kan du använda Microsoft Graph PowerShell-modulen . De cmdletar som används här ingår i modulen Microsoft.Graph.Identity.SignIns .
Anslut till Microsoft Graph PowerShell med den behörighet med minst behörighet som krävs. Om du vill läsa de aktuella inställningarna för användarmedgivande använder du Policy.Read.All
. Om du vill läsa och ändra inställningarna för användarmedgivande använder du Policy.ReadWrite.Authorization
. Du måste logga in som privilegierad rolladministratör.
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Inaktivera gruppägarens medgivande att använda principer för appmedgivande med hjälp av Microsoft Graph PowerShell
Kontrollera om
ManagePermissionGrantPoliciesForOwnedResource
är omfånget är igroup
.Hämta det aktuella värdet för inställningen för gruppens ägarmedgivande.
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
Om
ManagePermissionGrantPoliciesForOwnedResource
returneras iPermissionGrantPoliciesAssigned
kan inställningen för gruppägares medgivande ha styrts av principen för appmedgivande.Kontrollera om principen är begränsad till
group
.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties
Om
resourceScopeType
==group
har inställningen för gruppägarens medgivande styrts av principen för appmedgivande.
Om du vill inaktivera gruppägarens medgivande att använda principer för appmedgivande kontrollerar du att medgivandeprinciperna (
PermissionGrantPoliciesAssigned
) innehåller den aktuellaManagePermissionGrantsForSelf.*
principen och andra aktuellaManagePermissionGrantsForOwnedResource.*
principer som inte är tillämpliga på grupper när samlingen uppdateras. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.# only exclude policies that are scoped in group $body = @{ "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @( "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ) } Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Tilldela en appmedgivandeprincip till gruppägare med hjälp av Microsoft Graph PowerShell
Om du vill tillåta att gruppägarens medgivande omfattas av en appmedgivandeprincip väljer du vilken appmedgivandeprincip som ska styra gruppägarnas behörighet att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller den aktuella ManagePermissionGrantsForSelf.*
principen och andra ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Ersätt {app-consent-policy-id-for-group}
med ID:t för den princip som du vill tillämpa. Du kan välja en princip för anpassat appmedgivande som du har skapat, eller så kan du välja mellan följande inbyggda principer:
ID | beskrivning |
---|---|
microsoft-pre-approval-apps-for-group | Tillåt endast gruppägares medgivande till förgodkända appar Tillåt endast gruppägares medgivande för appar som förhandsgodkänts av administratörer för de grupper de äger. |
microsoft-all-application-permissions-for-group | Tillåt gruppägares medgivande till appar Med det här alternativet kan alla gruppägare samtycka till alla behörigheter som inte kräver administratörsmedgivande, för alla program, för de grupper de äger. Den innehåller appar som har godkänts i förväg av behörighet bevilja förhandsgodkännandeprincip för gruppresursspecifikt medgivande. |
Om du till exempel vill aktivera gruppägares medgivande enligt den inbyggda principen microsoft-all-application-permissions-for-group
kör du följande kommandon:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Använd Graph Explorer för att välja vilken princip för gruppägares medgivande som styr ägare av användarmedgivandegruppers möjlighet att samtycka till program som har åtkomst till organisationens data för de grupper som de äger.
Inaktivera gruppägarens medgivande att använda principer för appmedgivande med hjälp av Microsoft Graph API
Kontrollera om
ManagePermissionGrantPoliciesForOwnedResource
är omfånget är igroup
.- Hämta det aktuella värdet för inställningen för gruppägarens medgivande
GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy
Om
ManagePermissionGrantsForOwnedResource
returneras ipermissionGrantPolicyIdsAssignedToDefaultUserRole
kan inställningen för gruppägares medgivande ha styrts av principen för appmedgivande.2.Kontrollera om principen är begränsad till
group
.GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}
Om
resourceScopeType
==group
har inställningen för gruppägarens medgivande styrts av principen för appmedgivande.Om du vill inaktivera gruppägarens medgivande att använda principer för appmedgivande kontrollerar du att medgivandeprinciperna (
PermissionGrantPoliciesAssigned
) innehåller den aktuellaManagePermissionGrantsForSelf.*
principen och andra aktuellaManagePermissionGrantsForOwnedResource.*
principer som inte är tillämpliga på grupper. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy { "defaultUserRolePermissions": { "permissionGrantPoliciesAssigned": [ "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ] } }
Tilldela en appmedgivandeprincip till gruppägare med hjälp av Microsoft Graph API
Om du vill tillåta att gruppägarens medgivande omfattas av en appmedgivandeprincip väljer du vilken appmedgivandeprincip som ska styra gruppägarnas behörighet att bevilja medgivande till appar. Se till att medgivandeprinciperna (PermissionGrantPoliciesAssigned
) innehåller den aktuella ManagePermissionGrantsForSelf.*
principen och andra aktuella ManagePermissionGrantsForOwnedResource.*
principer vid uppdatering av samlingen. På så sätt kan du behålla din aktuella konfiguration för inställningar för användarmedgivande och andra inställningar för resursmedgivande.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
}
}
Ersätt {app-consent-policy-id-for-group}
med ID:t för den princip som du vill använda för grupper. Du kan välja en princip för anpassat appmedgivande för grupper som du har skapat, eller så kan du välja mellan följande inbyggda principer:
ID | beskrivning |
---|---|
microsoft-pre-approval-apps-for-group | Tillåt endast gruppägares medgivande till förgodkända appar Tillåt endast gruppägares medgivande för appar som förhandsgodkänts av administratörer för de grupper de äger. |
microsoft-all-application-permissions-for-group | Tillåt gruppägares medgivande till appar Med det här alternativet kan alla gruppägare samtycka till alla behörigheter som inte kräver administratörsmedgivande, för alla program, för de grupper de äger. Den innehåller appar som har godkänts i förväg av behörighet bevilja förhandsgodkännandeprincip för gruppresursspecifikt medgivande. |
Om du till exempel vill aktivera gruppägarens medgivande enligt den inbyggda principen microsoft-pre-approval-apps-for-group
använder du följande PATCH-kommando:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
]
}
}
Nästa steg
Så här får du hjälp eller svar på dina frågor:
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för