Aracılığıyla paylaş

Grup sahipleri için uygulama onay ilkelerini yönetme

  • Makale

Uygulama onayı ilkeleri, uygulamaların kuruluşunuzdaki verilere erişmek için sahip olduğu izinleri yönetmenin bir yoludur. Kullanıcıların hangi uygulamalara onay verebileceğini denetlemek ve verilere erişmeden önce uygulamaların belirli ölçütleri karşıladığından emin olmak için kullanılır. Bu ilkeler kuruluşların verileri üzerinde denetim sahibi olmasına ve yalnızca güvenilen uygulamalar tarafından erişildiğinden emin olmasına yardımcı olur.

Bu makalede, grup sahibi onayının ne zaman verileceğini denetlemek için yerleşik ve özel uygulama onayı ilkelerini yönetmeyi öğreneceksiniz.

Microsoft Graph ve Microsoft Graph PowerShell ile grup sahibi onay ilkelerini görüntüleyebilir ve yönetebilirsiniz.

Grup sahibi onayı ilkesi sıfır veya daha fazla "dahil" koşul kümesinden ve sıfır veya daha fazla "dışlama" koşul kümesinden oluşur. Bir olayın grup sahibi onay ilkesinde dikkate alınması için , "include" koşul kümesinin herhangi bir "dışlama" koşul kümesiyle eşleşmemesi gerekir.

Her koşul kümesi birkaç koşuldan oluşur. Bir olayın koşul kümesiyle eşleşmesi için, koşul kümesindeki tüm koşulların karşılanması gerekir.

Kimliğin "microsoft-" ile başladığı grup sahibi onay ilkeleri yerleşik ilkelerdir. Örneğin, grup sahibi onay ilkesi, microsoft-pre-approval-apps-for-group grup sahiplerinin sahip oldukları grupların verilerine erişmek için yönetici tarafından önceden onaylanan listeden uygulamalara onay vermesine izin verilen koşulları açıklar. Yerleşik ilkeler özel dizin rollerinde ve kullanıcı onayı ayarlarını yapılandırmak için kullanılabilir, ancak düzenlenemez veya silinemez.

Önkoşullar

  • Aşağıdaki rollerden birine sahip bir kullanıcı veya hizmet:
  • Uygulama onayı ilkelerine tabi grup sahibi onayına izin vermek için grup sahibi onayı ayarının devre dışı bırakılması gerekir. Devre dışı bırakıldıktan sonra geçerli ilkeniz uygulama onayı ilkesinden okunur. Grup sahibi onayının nasıl devre dışı bırakacağınızı öğrenmek için bkz. Grup sahibi onayı ayarını devre dışı bırakma

Microsoft Graph PowerShell ile uygulamalar için grup sahibi onay ilkelerini yönetmek için Microsoft Graph PowerShell'e bağlanın ve önkoşullar bölümünde listelenen rollerden biriyle oturum açın. ayrıca izni onaylamanız Policy.ReadWrite.PermissionGrant gerekir.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Grup sahibi onayı ayarınızın başka yollarla yetkilendirilip yetkilendirilmediğini nasıl doğrulayacağınızı öğrenin.

  1. Grup sahibi onayı ayarı için geçerli değeri alma

      Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned

    içinde PermissionGrantPoliciesAssigneddöndürülürseManagePermissionGrantPoliciesForOwnedResource, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiş olabilir.

  2. İlkenin kapsamı olarak belirlenmiş groupolup olmadığını denetleyin.

       Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties

ise ResourceScopeType == group, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiştir. Ayrıca, gruplar için uygulama onayı ilkesi atanmışsa microsoft-pre-approval-apps-for-group, kiracınız için onay öncesi özelliğin etkinleştirildiği anlamına gelir.

Kuruluşunuzdaki mevcut grup sahibi onay ilkelerini tanıyarak başlamak iyi bir fikirdir:

  1. Tüm grup sahibi onay ilkelerini listeleyin:

    Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description

  2. İlkenin "dahil" koşul kümelerini görüntüleyin:

    Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl

  3. "Dışla" koşul kümelerini görüntüleyin:

    Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl

Özel grup sahibi onay ilkesi oluşturmak için şu adımları izleyin:

  1. Yeni bir boş grup sahibi onay ilkesi oluşturun.

    New-MgPolicyPermissionGrantPolicy `
    -Id "my-custom-app-consent-policy-for-group" `
    -DisplayName "My first custom app consent policy for group" `
    -Description "This is a sample custom app consent policy for group." `
    -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}

  2. "include" koşul kümeleri ekleyin.

    # Include delegated permissions classified "low", for apps from verified publishers
New-MgPolicyPermissionGrantPolicyInclude `
    -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
    -PermissionType "delegated" `
    -PermissionClassification "low" `
    -ClientApplicationsFromVerifiedPublisherOnly

    Daha fazla "include" koşul kümesi eklemek için bu adımı yineleyin.

  3. İsteğe bağlı olarak, "dışla" koşul kümeleri ekleyin.

    # Retrieve the service principal for the Azure Management API
$azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"

# Exclude delegated permissions for the Azure Management API
New-MgPolicyPermissionGrantPolicyExclude `
    -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
    -PermissionType "delegated" `
    -ResourceApplication $azureApi.AppId

    Daha fazla "dışlama" koşul kümesi eklemek için bu adımı yineleyin.

Grup için uygulama onayı ilkesi oluşturulduktan sonra, bu ilkeye tabi olarak grup sahiplerinin onayına izin vekleyebilirsiniz.

  1. Aşağıda özel grup sahibi onay ilkesini nasıl silebileceğiniz gösterilmektedir.

    Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"

Grup sahibi onay ilkelerini yönetmek için, önkoşul bölümünde listelenen rollerden biriyle Graph Explorer'da oturum açın. ayrıca izni onaylamanız Policy.ReadWrite.PermissionGrant gerekir.

Grup sahibi onayı ayarınızın başka yollarla yetkilendirilip yetkilendirilmediğini nasıl doğrulayacağınızı öğrenin.

  1. Geçerli ilke değerini alma

    GET /policies/authorizationPolicy

    Görünürse ManagePermissionGrantPoliciesForOwnedResource , grup sahibi onayı ayarınız başka yollarla yetkilendirilmiş olabilir.

  2. İlkenin kapsamının group

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }

    ise resourceScopeType == group, grup sahibi onayı ayarınız başka yollarla yetkilendirilmiştir. Ayrıca, gruplar için uygulama onayı ilkesi atanmışsa microsoft-pre-approval-apps-for-group, kiracınız için onay öncesi özelliğin etkinleştirildiği anlamına gelir.

Kuruluşunuzdaki mevcut grup sahibi onay ilkelerini tanıyarak başlamak iyi bir fikirdir:

  1. Tüm uygulama onay ilkelerini listeleyin:

    GET /policies/permissionGrantPolicies

  2. İlkenin "dahil" koşul kümelerini görüntüleyin:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes

  3. "Dışla" koşul kümelerini görüntüleyin:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes

Özel grup sahibi onay ilkesi oluşturmak için şu adımları izleyin:

  1. Yeni bir boş grup sahibi onay ilkesi oluşturun.

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies

{
  "id": "my-custom-app-consent-policy-for-group",
  "displayName": "My first custom app consent policy for group",
  "description": "This is a sample custom app consent policy for group",
  "includeAllPreApprovedApplications": false,
  "resourceScopeType": "group"
}

  2. "include" koşul kümeleri ekleyin.

    Doğrulanmış yayımcıların uygulamaları için "düşük" sınıflandırılmış temsilci izinlerini dahil et

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes

{
  "permissionType": "delegated",
  "permissionClassification": "low",
  "clientApplicationsFromVerifiedPublisherOnly": true
}

    Daha fazla "include" koşul kümesi eklemek için bu adımı yineleyin.

  3. İsteğe bağlı olarak, "dışla" koşul kümeleri ekleyin. Azure Yönetim API'sinin temsilci izinlerini hariç tutma (appId 00001111-aaaa-2222-bbbb-3333cccc4444)

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes

{
  "permissionType": "delegated",
  "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 "
}

    Daha fazla "dışlama" koşul kümesi eklemek için bu adımı yineleyin.

Grup sahibi onay ilkesi oluşturulduktan sonra, bu ilkeye tabi olarak grup sahiplerinin onayına izin vekleyebilirsiniz.

  1. Aşağıda özel grup sahibi onay ilkesini nasıl silebileceğiniz gösterilmektedir.

    DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy

Uyarı

Silinen grup sahibi onay ilkeleri geri yüklenemiyor. Bir özel grup sahibi onay ilkesini yanlışlıkla silerseniz, ilkeyi yeniden oluşturmanız gerekir.

Desteklenen koşullar

Aşağıdaki tablo, grup sahibi onay ilkeleri için desteklenen koşulların listesini sağlar.

Koşul Açıklama
PermissionClassification Verilen izin için izin sınıflandırması veya herhangi bir izin sınıflandırmasıyla (sınıflandırılmamış izinler dahil) eşleşmesi için "tümü". Varsayılan değer "tümü"dür.
PermissionType Verilen iznin izin türü. Uygulama izinleri (örneğin, uygulama rolleri) için "uygulama" veya temsilci izinleri için "temsilci" kullanın.

Not: "delegatedUserConsentable" değeri, API yayımcısı tarafından yönetici onayı gerektirecek şekilde yapılandırılmamış temsilci izinlerini gösterir. Bu değer yerleşik izin verme ilkelerinde kullanılabilir, ancak özel izin verme ilkelerinde kullanılamaz. Gerekli.
ResourceApplication İzin verilen kaynak uygulamasının AppId değeri (örneğin, API) veya herhangi bir kaynak uygulaması veya API ile eşleşmesi için "herhangi biri". Varsayılan değer "any" olur.
İzinler Eşleşmesi gereken belirli izinlerin izin kimliklerinin listesi veya herhangi bir izinle eşleşmesi için "tümü" tek değerine sahip bir liste. Varsayılan değer , "tümü" tek değeridir.
- Temsilci izin kimlikleri, API'nin ServicePrincipal nesnesinin OAuth2Permissions özelliğinde bulunabilir.
- Uygulama izni kimlikleri API'nin ServicePrincipal nesnesinin AppRoles özelliğinde bulunabilir.
ClientApplicationIds İstemci uygulamalarının eşleşmesi için AppId değerlerinin listesi veya herhangi bir istemci uygulamasıyla eşleşecek tek değer "tümü" olan bir liste. Varsayılan değer , "tümü" tek değeridir.
ClientApplicationTenantIds İstemci uygulamasının kaydedildiği Microsoft Entra kiracı kimliklerinin listesi veya herhangi bir kiracıda kayıtlı istemci uygulamalarıyla eşleşecek tek değere sahip bir liste ... Varsayılan değer , "tümü" tek değeridir.
ClientApplicationPublisherIds İstemci uygulamasının doğrulanmış yayımcıları için Microsoft İş Ortağı Ağı (MPN) kimliklerinin listesi veya herhangi bir yayımcının istemci uygulamalarıyla eşleşmesi için tek değerli "tümü" olan bir liste. Varsayılan değer , "tümü" tek değeridir.
ClientApplicationsFromVerifiedPublisherOnly Bu anahtarı yalnızca doğrulanmış yayımcılara sahip istemci uygulamalarında eşleşecek şekilde ayarlayın. Doğrulanmış bir yayımcısı olmasa bile bu anahtarı (-ClientApplicationsFromVerifiedPublisherOnly:$false) herhangi bir istemci uygulamasında eşleşecek şekilde devre dışı bırakın. Varsayılan $false değeridir.

Uyarı

Silinen grup sahibi onay ilkeleri geri yüklenemez. Bir özel grup sahibi onay ilkesini yanlışlıkla silerseniz, ilkeyi yeniden oluşturmanız gerekir.

Yardım almak veya sorularınıza yanıt bulmak için: