Správa zásad souhlasu aplikací pro vlastníky skupin
Zásady souhlasu aplikací představují způsob, jak spravovat oprávnění, která aplikace mají pro přístup k datům ve vaší organizaci. Používají se k řízení toho, s jakými aplikacemi můžou uživatelé souhlasit, a k zajištění toho, aby aplikace splňovaly určitá kritéria předtím, než budou mít přístup k datům. Tyto zásady pomáhají organizacím udržovat kontrolu nad svými daty a zajistit, aby k nim přistupovaly jenom důvěryhodné aplikace.
V tomto článku se dozvíte, jak spravovat předdefinované a vlastní zásady souhlasu s aplikacemi, abyste mohli řídit, kdy je možné udělit souhlas vlastníka skupiny.
Pomocí Microsoft Graphu a Microsoft Graph PowerShellu můžete zobrazit a spravovat zásady souhlasu vlastníka skupiny.
Zásada souhlasu vlastníka skupiny se skládá z nulových nebo více sad podmínek "include" a nula nebo více sad podmínek vyloučení. Aby byla událost považována za v zásadách souhlasu vlastníka skupiny, nesmí sada podmínek include odpovídat žádné sadě podmínek vyloučení.
Každá sada podmínek se skládá z několika podmínek. Aby událost odpovídala sadě podmínek, musí být splněny všechny podmínky v sadě podmínek.
Zásady souhlasu vlastníka skupiny, kde ID začíná na "microsoft-" jsou předdefinované zásady. Zásady souhlasu vlastníka skupiny například popisují podmínky, microsoft-pre-approval-apps-for-group za kterých mohou vlastníci skupiny udělit souhlas s aplikacemi z předschváleného seznamu správcem pro přístup k datům pro skupiny, které vlastní. Předdefinované zásady se dají použít ve vlastních rolích adresáře a ke konfiguraci nastavení souhlasu uživatele, ale nedají se upravovat ani odstraňovat.
Požadavky
- Uživatel nebo služba s jednou z následujících rolí:
- Správce privilegovaných rolí
- Vlastní role s potřebnými oprávněními ke správě zásad souhlasu vlastníka skupiny
- Role aplikace Microsoft Graph (oprávnění aplikace) Policy.ReadWrite.PermissionGrant (při připojování jako aplikace nebo služby)
- Pokud chcete povolit souhlas vlastníka skupiny se zásadami souhlasu aplikace, musí být nastavení souhlasu vlastníka skupiny zakázané. Po zakázání se vaše aktuální zásada načte ze zásad souhlasu aplikace. Informace o tom, jak zakázat souhlas vlastníka skupiny, najdete v tématu Zakázání nastavení souhlasu vlastníka skupiny.
Pokud chcete spravovat zásady souhlasu vlastníka skupiny pro aplikace pomocí Microsoft Graph PowerShellu, připojte se k Prostředí Microsoft Graph PowerShell a přihlaste se pomocí jedné z rolí uvedených v části Požadavky. Musíte také udělit souhlas s oprávněním Policy.ReadWrite.PermissionGrant .
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"
Načtení aktuální hodnoty pro zásady souhlasu vlastníka skupiny pomocí PowerShellu
Zjistěte, jak ověřit, jestli je nastavení souhlasu vlastníka skupiny autorizované jinými způsoby.
Načtení aktuální hodnoty pro nastavení souhlasu vlastníka skupiny
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssignedPokud
ManagePermissionGrantPoliciesForOwnedResourcese vrátí,PermissionGrantPoliciesAssignedje možné, že nastavení souhlasu vlastníka skupiny bylo autorizované jinými způsoby.Zkontrolujte, jestli je zásada vymezená na
group.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
Pokud ResourceScopeType == groupje nastavení souhlasu vlastníka skupiny autorizované jinými způsoby. Kromě toho platí, že pokud byly přiřazeny microsoft-pre-approval-apps-for-groupzásady souhlasu aplikace pro skupiny, znamená to, že je pro vašeho tenanta povolená funkce předběžného schválení.
Výpis existujících zásad souhlasu vlastníka skupiny pomocí PowerShellu
Je vhodné začít seznámením se stávajícími zásadami souhlasu vlastníka skupiny ve vaší organizaci:
Výpis všech zásad souhlasu vlastníka skupiny:
Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, DescriptionZobrazení sad podmínek include zásady:
Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | flZobrazení sad podmínek pro vyloučení:
Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
Vytvoření vlastních zásad souhlasu vlastníka skupiny pomocí PowerShellu
Pokud chcete vytvořit vlastní zásadu souhlasu vlastníka skupiny, postupujte takto:
Vytvořte novou prázdnou zásadu souhlasu vlastníka skupiny.
New-MgPolicyPermissionGrantPolicy ` -Id "my-custom-app-consent-policy-for-group" ` -DisplayName "My first custom app consent policy for group" ` -Description "This is a sample custom app consent policy for group." ` -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}Přidejte sady podmínek "include".
# Include delegated permissions classified "low", for apps from verified publishers New-MgPolicyPermissionGrantPolicyInclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -PermissionClassification "low" ` -ClientApplicationsFromVerifiedPublisherOnlyOpakujte tento krok a přidejte další sady podmínek include.
Volitelně můžete přidat sady podmínek vyloučení.
# Retrieve the service principal for the Azure Management API $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')" # Exclude delegated permissions for the Azure Management API New-MgPolicyPermissionGrantPolicyExclude ` -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" ` -PermissionType "delegated" ` -ResourceApplication $azureApi.AppIdTento krok opakujte, pokud chcete přidat další sady podmínek vyloučení.
Po vytvoření zásad souhlasu aplikace pro skupinu můžete vlastníkům skupin povolit souhlas s touto zásadou.
Odstranění vlastních zásad souhlasu vlastníka skupiny pomocí PowerShellu
Následující informace ukazují, jak odstranit vlastní zásady souhlasu vlastníka skupiny.
Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
Pokud chcete spravovat zásady souhlasu vlastníka skupiny, přihlaste se k Graph Exploreru pomocí jedné z rolí uvedených v části Požadavky. Musíte také udělit souhlas s oprávněním Policy.ReadWrite.PermissionGrant .
Načtení aktuální hodnoty pro zásady souhlasu vlastníka skupiny pomocí Microsoft Graphu
Zjistěte, jak ověřit, jestli je nastavení souhlasu vlastníka skupiny autorizované jinými způsoby.
Načtení aktuální hodnoty zásady
GET /policies/authorizationPolicyPokud
ManagePermissionGrantPoliciesForOwnedResourcese zobrazí, je možné, že nastavení souhlasu vlastníka skupiny bylo autorizované jinými způsoby.Zkontrolujte, jestli je zásada vymezená na
groupGET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }Pokud
resourceScopeType==groupje nastavení souhlasu vlastníka skupiny autorizované jinými způsoby. Kromě toho platí, že pokud byly přiřazenymicrosoft-pre-approval-apps-for-groupzásady souhlasu aplikace pro skupiny, znamená to, že je pro vašeho tenanta povolená funkce předběžného schválení.
Výpis existujících zásad souhlasu vlastníka skupiny pomocí Microsoft Graphu
Je vhodné začít seznámením se stávajícími zásadami souhlasu vlastníka skupiny ve vaší organizaci:
Výpis všech zásad souhlasu aplikace:
GET /policies/permissionGrantPoliciesZobrazení sad podmínek include zásady:
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includesZobrazení sad podmínek pro vyloučení:
GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
Vytvoření vlastních zásad souhlasu vlastníka skupiny pomocí Microsoft Graphu
Pokud chcete vytvořit vlastní zásadu souhlasu vlastníka skupiny, postupujte takto:
Vytvořte novou prázdnou zásadu souhlasu vlastníka skupiny.
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies { "id": "my-custom-app-consent-policy-for-group", "displayName": "My first custom app consent policy for group", "description": "This is a sample custom app consent policy for group", "includeAllPreApprovedApplications": false, "resourceScopeType": "group" }Přidejte sady podmínek "include".
Zahrnout delegovaná oprávnění klasifikovaná jako nízká pro aplikace od ověřených vydavatelů
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes { "permissionType": "delegated", "permissionClassification": "low", "clientApplicationsFromVerifiedPublisherOnly": true }Opakujte tento krok a přidejte další sady podmínek include.
Volitelně můžete přidat sady podmínek vyloučení. Vyloučení delegovaných oprávnění pro rozhraní API pro správu Azure (appId 00001111-aaaa-2222-bbbb-3333cccc4444)
POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes { "permissionType": "delegated", "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 " }Tento krok opakujte, pokud chcete přidat další sady podmínek vyloučení.
Po vytvoření zásady souhlasu vlastníka skupiny můžete vlastníkům skupiny povolit souhlas s touto zásadou.
Odstranění vlastních zásad souhlasu vlastníka skupiny pomocí Microsoft Graphu
Následující informace ukazují, jak odstranit vlastní zásady souhlasu vlastníka skupiny.
DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
Upozorňující
Odstraněné zásady souhlasu vlastníka skupiny nelze obnovit. Pokud omylem odstraníte vlastní zásady souhlasu vlastníka skupiny, budete muset zásadu znovu vytvořit.
Podporované podmínky
Následující tabulka obsahuje seznam podporovaných podmínek pro zásady souhlasu vlastníka skupiny.
| Podmínka | Popis |
|---|---|
| PermissionClassification | Klasifikace oprávnění pro udělené oprávnění nebo "vše" odpovídající jakékoli klasifikaci oprávnění (včetně oprávnění, která nejsou klasifikovaná). Výchozí hodnota je vše. |
| Typ oprávnění | Typ oprávnění uděleného oprávnění. Pro oprávnění aplikace (například role aplikací) nebo delegovaná oprávnění použijte "aplikaci". Poznámka: Hodnota "delegatedUserConsentable" označuje delegovaná oprávnění, která vydavatel rozhraní API nenakonfiguroval tak, aby vyžadoval souhlas správce. Tuto hodnotu je možné použít v předdefinovaných zásadách udělení oprávnění, ale nedá se použít ve vlastních zásadách udělení oprávnění. Povinný: |
| ResourceApplication | AppId aplikace prostředků (například rozhraní API), pro které se uděluje oprávnění, nebo "jakýkoli" odpovídající aplikaci prostředků nebo rozhraní API. Výchozí hodnota je any. |
| Oprávnění | Seznam IDoprávněních Výchozí hodnota je jedna hodnota "all". – ID delegovaných oprávnění najdete ve vlastnosti OAuth2Permissions objektu ServicePrincipal rozhraní API. – ID oprávnění aplikace lze najít ve vlastnosti AppRoles objektu ServicePrincipal rozhraní API. |
| ClientApplicationIds | Seznam hodnot AppId pro klientské aplikace, které se mají shodovat, nebo seznam s jedinou hodnotou "all" odpovídající libovolné klientské aplikaci. Výchozí hodnota je jedna hodnota "all". |
| ClientApplicationTenantIds | Seznam ID tenanta Microsoft Entra, ve kterých je klientská aplikace zaregistrovaná, nebo seznam s jedinou hodnotou "all", která odpovídá klientským aplikacím registrovaným v libovolném tenantovi. Výchozí hodnota je jedna hodnota "all". |
| ClientApplicationPublisherIds | Seznam ID programu Microsoft Partner Network (MPN) pro ověřené vydavatele klientské aplikace nebo seznam s jednou hodnotou "all" (vše) odpovídající klientským aplikacím od libovolného vydavatele. Výchozí hodnota je jedna hodnota "all". |
| ClientApplicationsFromVerifiedPublisherOnly | Tento přepínač nastavte tak, aby odpovídal pouze klientským aplikacím s ověřenými vydavateli. Zakažte tento přepínač (-ClientApplicationsFromVerifiedPublisherOnly:$false) tak, aby odpovídal v libovolné klientské aplikaci, i když nemá ověřeného vydavatele. Výchozí hodnota je $false. |
Upozorňující
Odstraněné zásady souhlasu vlastníka skupiny nelze obnovit. Pokud omylem odstraníte vlastní zásady souhlasu vlastníka skupiny, budete muset zásadu znovu vytvořit.
Pokud chcete získat nápovědu nebo najít odpovědi na své otázky: