Grup sahipleri için uygulama onay ilkelerini yönetme
Uygulama onayı ilkeleri, uygulamaların kuruluşunuzdaki verilere erişmek için sahip olduğu izinleri yönetmenin bir yoludur. Kullanıcıların hangi uygulamalara onay verebileceğini denetlemek ve verilere erişmeden önce uygulamaların belirli ölçütleri karşıladığından emin olmak için kullanılır. Bu ilkeler kuruluşların verileri üzerinde denetim sahibi olmasına ve yalnızca güvenilen uygulamalar tarafından erişildiğinden emin olmasına yardımcı olur.
Bu makalede, grup sahibi onayının ne zaman verileceğini denetlemek için yerleşik ve özel uygulama onayı ilkelerini yönetmeyi öğreneceksiniz.
Microsoft Graph ve Microsoft Graph PowerShell ile grup sahibi onay ilkelerini görüntüleyebilir ve yönetebilirsiniz.
Grup sahibi onayı ilkesi sıfır veya daha fazla "dahil" koşul kümesinden ve sıfır veya daha fazla "dışlama" koşul kümesinden oluşur. Bir olayın grup sahibi onay ilkesinde dikkate alınması için , "include" koşul kümesinin herhangi bir "dışlama" koşul kümesiyle eşleşmemesi gerekir.
Her koşul kümesi birkaç koşuldan oluşur. Bir olayın koşul kümesiyle eşleşmesi için, koşul kümesindeki tüm koşulların karşılanması gerekir.
Kimliğin "microsoft-" ile başladığı grup sahibi onay ilkeleri yerleşik ilkelerdir. Örneğin, grup sahibi onay ilkesi, microsoft-pre-approval-apps-for-group
grup sahiplerinin sahip oldukları grupların verilerine erişmek için yönetici tarafından önceden onaylanan listeden uygulamalara onay vermesine izin verilen koşulları açıklar. Yerleşik ilkeler özel dizin rollerinde ve kullanıcı onayı ayarlarını yapılandırmak için kullanılabilir, ancak düzenlenemez veya silinemez.
Önkoşullar
- Aşağıdaki rollerden birine sahip bir kullanıcı veya hizmet:
- Ayrıcalıklı Rol Yöneticisi
- Grup sahibi onay ilkelerini yönetmek için gerekli izinlere sahip özel bir rol
- Microsoft Graph uygulama rolü (uygulama izni) Policy.ReadWrite.PermissionGrant (uygulama veya hizmet olarak bağlanırken)
- Uygulama onayı ilkelerine tabi grup sahibi onayına izin vermek için grup sahibi onayı ayarının devre dışı bırakılması gerekir. Devre dışı bırakıldıktan sonra geçerli ilkeniz uygulama onayı ilkesinden okunur. Grup sahibi onayının nasıl devre dışı bırakacağınızı öğrenmek için bkz. Grup sahibi onayı ayarını devre dışı bırakma
Microsoft Graph PowerShell ile uygulamalar için grup sahibi onay ilkelerini yönetmek için Microsoft Graph PowerShell'e bağlanın ve önkoşullar bölümünde listelenen rollerden biriyle oturum açın. ayrıca izni onaylamanız Policy.ReadWrite.PermissionGrant
gerekir.
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"
PowerShell kullanarak grup sahibi onay ilkesi için geçerli değeri alma
Grup sahibi onayı ayarınızın başka yollarla yetkilendirilip yetkilendirilmediğini nasıl doğrulayacağınızı öğrenin.
Grup sahibi onayı ayarı için geçerli değeri alma
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
içinde
PermissionGrantPoliciesAssigned
döndürülürseManagePermissionGrantPoliciesForOwnedResource
, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiş olabilir.İlkenin kapsamı olarak belirlenmiş
group
olup olmadığını denetleyin.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
ise ResourceScopeType
== group
, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiştir. Ayrıca, gruplar için uygulama onayı ilkesi atanmışsa microsoft-pre-approval-apps-for-group
, kiracınız için onay öncesi özelliğin etkinleştirildiği anlamına gelir.
PowerShell kullanarak mevcut grup sahibi onay ilkelerini listeleme
Kuruluşunuzdaki mevcut grup sahibi onay ilkelerini tanıyarak başlamak iyi bir fikirdir:
Tüm grup sahibi onay ilkelerini listeleyin:
Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description
İlkenin "dahil" koşul kümelerini görüntüleyin:
Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
"Dışla" koşul kümelerini görüntüleyin:
Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
PowerShell kullanarak özel grup sahibi onayı ilkesi oluşturma
Özel grup sahibi onay ilkesi oluşturmak için şu adımları izleyin:
Yeni bir boş grup sahibi onay ilkesi oluşturun.
New-MgPolicyPermissionGrantPolicy ` -Id "my-custom-app-consent-policy-for-group" ` -DisplayName "My first custom app consent policy for group" ` -Description "This is a sample custom app consent policy for group." ` -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}
"include" koşul kümeleri ekleyin.
# Include delegated permissions classified "low", for apps from verified publishers New-MgPolicyPermissionGrantPolicyInclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -PermissionClassification "low" ` -ClientApplicationsFromVerifiedPublisherOnly
Daha fazla "include" koşul kümesi eklemek için bu adımı yineleyin.
İsteğe bağlı olarak, "dışla" koşul kümeleri ekleyin.
# Retrieve the service principal for the Azure Management API $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')" # Exclude delegated permissions for the Azure Management API New-MgPolicyPermissionGrantPolicyExclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -ResourceApplication $azureApi.AppId
Daha fazla "dışlama" koşul kümesi eklemek için bu adımı yineleyin.
Grup için uygulama onayı ilkesi oluşturulduktan sonra, bu ilkeye tabi olarak grup sahiplerinin onayına izin vekleyebilirsiniz.
PowerShell kullanarak özel grup sahibi onay ilkesini silme
Aşağıda özel grup sahibi onay ilkesini nasıl silebileceğiniz gösterilmektedir.
Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
Grup sahibi onay ilkelerini yönetmek için, önkoşul bölümünde listelenen rollerden biriyle Graph Explorer'da oturum açın. ayrıca izni onaylamanız Policy.ReadWrite.PermissionGrant
gerekir.
Microsoft Graph kullanarak grup sahibi onay ilkesi için geçerli değeri alma
Grup sahibi onayı ayarınızın başka yollarla yetkilendirilip yetkilendirilmediğini nasıl doğrulayacağınızı öğrenin.
Geçerli ilke değerini alma
GET /policies/authorizationPolicy
Görünürse
ManagePermissionGrantPoliciesForOwnedResource
, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiş olabilir.İlkenin kapsamının
group
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }
ise
resourceScopeType
==group
, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiştir. Ayrıca, gruplar için uygulama onayı ilkesi atanmışsamicrosoft-pre-approval-apps-for-group
, kiracınız için onay öncesi özelliğin etkinleştirildiği anlamına gelir.
Microsoft Graph kullanarak mevcut grup sahibi onay ilkelerini listeleme
Kuruluşunuzdaki mevcut grup sahibi onay ilkelerini tanıyarak başlamak iyi bir fikirdir:
Tüm uygulama onay ilkelerini listeleyin:
GET /policies/permissionGrantPolicies
İlkenin "dahil" koşul kümelerini görüntüleyin:
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes
"Dışla" koşul kümelerini görüntüleyin:
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
Microsoft Graph kullanarak özel grup sahibi onayı ilkesi oluşturma
Özel grup sahibi onay ilkesi oluşturmak için şu adımları izleyin:
Yeni bir boş grup sahibi onay ilkesi oluşturun.
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies { "id": "my-custom-app-consent-policy-for-group", "displayName": "My first custom app consent policy for group", "description": "This is a sample custom app consent policy for group", "includeAllPreApprovedApplications": false, "resourceScopeType": "group" }
"include" koşul kümeleri ekleyin.
Doğrulanmış yayımcıların uygulamaları için "düşük" sınıflandırılmış temsilci izinlerini dahil et
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes { "permissionType": "delegated", "permissionClassification": "low", "clientApplicationsFromVerifiedPublisherOnly": true }
Daha fazla "include" koşul kümesi eklemek için bu adımı yineleyin.
İsteğe bağlı olarak, "dışla" koşul kümeleri ekleyin. Azure Yönetim API'sinin temsilci izinlerini hariç tutma (appId 00001111-aaaa-2222-bbbb-3333cccc4444)
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes { "permissionType": "delegated", "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 " }
Daha fazla "dışlama" koşul kümesi eklemek için bu adımı yineleyin.
Grup sahibi onay ilkesi oluşturulduktan sonra, bu ilkeye tabi olarak grup sahiplerinin onayına izin vekleyebilirsiniz.
Microsoft Graph kullanarak özel grup sahibi onay ilkesini silme
Aşağıda özel grup sahibi onay ilkesini nasıl silebileceğiniz gösterilmektedir.
DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
Uyarı
Silinen grup sahibi onay ilkeleri geri yüklenemiyor. Bir özel grup sahibi onay ilkesini yanlışlıkla silerseniz, ilkeyi yeniden oluşturmanız gerekir.
Desteklenen koşullar
Aşağıdaki tablo, grup sahibi onay ilkeleri için desteklenen koşulların listesini sağlar.
Koşul | Açıklama |
---|---|
PermissionClassification | Verilen izin için izin sınıflandırması veya herhangi bir izin sınıflandırmasıyla (sınıflandırılmamış izinler dahil) eşleşmesi için "tümü". Varsayılan değer "tümü"dür. |
PermissionType | Verilen iznin izin türü. Uygulama izinleri (örneğin, uygulama rolleri) için "uygulama" veya temsilci izinleri için "temsilci" kullanın. Not: "delegatedUserConsentable" değeri, API yayımcısı tarafından yönetici onayı gerektirecek şekilde yapılandırılmamış temsilci izinlerini gösterir. Bu değer yerleşik izin verme ilkelerinde kullanılabilir, ancak özel izin verme ilkelerinde kullanılamaz. Gerekli. |
ResourceApplication | İzin verilen kaynak uygulamasının AppId değeri (örneğin, API) veya herhangi bir kaynak uygulaması veya API ile eşleşmesi için "herhangi biri". Varsayılan değer "any" olur. |
İzinler | Eşleşmesi gereken belirli izinlerin izin kimliklerinin listesi veya herhangi bir izinle eşleşmesi için "tümü" tek değerine sahip bir liste. Varsayılan değer , "tümü" tek değeridir. - Temsilci izin kimlikleri, API'nin ServicePrincipal nesnesinin OAuth2Permissions özelliğinde bulunabilir. - Uygulama izni kimlikleri API'nin ServicePrincipal nesnesinin AppRoles özelliğinde bulunabilir. |
ClientApplicationIds | İstemci uygulamalarının eşleşmesi için AppId değerlerinin listesi veya herhangi bir istemci uygulamasıyla eşleşecek tek değer "tümü" olan bir liste. Varsayılan değer , "tümü" tek değeridir. |
ClientApplicationTenantIds | İstemci uygulamasının kaydedildiği Microsoft Entra kiracı kimliklerinin listesi veya herhangi bir kiracıda kayıtlı istemci uygulamalarıyla eşleşecek tek değere sahip bir liste ... Varsayılan değer , "tümü" tek değeridir. |
ClientApplicationPublisherIds | İstemci uygulamasının doğrulanmış yayımcıları için Microsoft İş Ortağı Ağı (MPN) kimliklerinin listesi veya herhangi bir yayımcının istemci uygulamalarıyla eşleşmesi için tek değerli "tümü" olan bir liste. Varsayılan değer , "tümü" tek değeridir. |
ClientApplicationsFromVerifiedPublisherOnly | Bu anahtarı yalnızca doğrulanmış yayımcılara sahip istemci uygulamalarında eşleşecek şekilde ayarlayın. Doğrulanmış bir yayımcısı olmasa bile bu anahtarı (-ClientApplicationsFromVerifiedPublisherOnly:$false ) herhangi bir istemci uygulamasında eşleşecek şekilde devre dışı bırakın. Varsayılan $false değeridir. |
Uyarı
Silinen grup sahibi onay ilkeleri geri yüklenemez. Bir özel grup sahibi onay ilkesini yanlışlıkla silerseniz, ilkeyi yeniden oluşturmanız gerekir.
Yardım almak veya sorularınıza yanıt bulmak için:
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin