Vorabgenehmigung von RSC-Berechtigungen
Resource-Specific Vorabgenehmigungsberechtigungen (RSC) bietet Administratoren eine präzise Kontrolle über die RSC-Berechtigungen, die eine App bei der Installation anfordern kann. RSC-Berechtigungen werden einer App zum Zeitpunkt der Installation der App gewährt. Durch die Verwendung von Vorabgenehmigungsrichtlinien können Administratoren im Voraus die maximalen Berechtigungen deklarieren, die eine App vom Endbenutzer anfordern kann und der während der Installation zugestimmt werden kann.
Damit eine RSC-Berechtigungsvorgenehmigungsrichtlinie für eine App wirksam wird, muss der Administrator sicherstellen, dass die App in der organization aktiviert (installierbar) ist. Wenn die App nicht installiert werden kann, ist die Berechtigungsvorgenehmigung für diese bestimmte App irrelevant. Weitere Informationen zum Aktivieren von Apps in Teams Admin Center finden Sie unter Verwalten von Apps in Teams Admin Center.
Administratoren können eine detaillierte Vorabgenehmigungsrichtlinie erstellen, die auf der App-ID, den Berechtigungen und der Vertraulichkeit der daten basiert, auf die zugegriffen wird. Die Vorabgenehmigung von RSC-Berechtigungen richtet sich an Administratoren, die erweiterte benutzerdefinierte Richtlinien für ihre organization erstellen möchten.
Standardmäßig werden die Vorabgenehmigungsrichtlinien von Microsoft verwaltet, und es wird empfohlen, dass Organisationen den Zustand beibehalten ManagedByMicrosoft . Dieser Zustand ermöglicht es dem Microsoft-Sicherheitsteam, die beste Sicherheit für Ihre organization bereitzustellen.
Hinweis
- Die Vorabgenehmigung von RSC-Berechtigungen ist nur in der öffentlichen Entwicklervorschau verfügbar.
- Die Vorabgenehmigung von RSC-Berechtigungen und deren Betriebsverfahren kann sich ändern.
Einrichten von PowerShell zum Verwalten der Vorabgenehmigung von RSC-Berechtigungen
Die Vorabgenehmigung von RSC-Berechtigungen wird über Microsoft Graph PowerShell verwaltet. Weitere Informationen zum Verwalten von Microsoft Teams mit PowerShell finden Sie hier.
Zum Erstellen, Verwalten und Löschen von RSC-Vorabgenehmigungsrichtlinien müssen Sie dem PowerShell-Cmdlet die folgenden Berechtigungen erteilen:
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
Hinweis
Sie benötigen Berechtigungen auf globaler Administratorebene, um Graph zum ersten Mal mit Ihrem organization zu verbinden.
Im Folgenden finden Sie ein Beispiel für das PowerShell-Setup zum Verwalten von Vorabgenehmigungsrichtlinien für RSC-Berechtigungen:
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
Zulassen von RSC-Berechtigungen für Apps in Ihrem organization
Für Team- und Chat-spezifische RSC-Berechtigungen können Administratoren vier verschiedene Zustände für ihre organization festlegen. Abgesehen vom DisabledForAllApps Status lassen alle anderen Zustände RSC-Berechtigungen in unterschiedlichem Grad zu. Diese Zustände können über Set-MgBetaChatRscConfiguration - und Set-MgBetaTeamRscConfiguration -Cmdlets festgelegt werden.
Verwenden Sie Set-MgBetaTeamRscConfiguration -State EnabledForAllApps beispielsweise die Cmdlets, um RSC-Berechtigungen für alle nicht blockierten Apps in Ihrem organization zuzulassen.
Im Folgenden sind die verschiedenen Zustände aufgeführt, die RSC-Berechtigungen in Ihrem organization zulassen und nicht zulassen:
| Konfiguration | Beschreibung |
|---|---|
ManagedByMicrosoft |
Eine dynamische Richtlinie, die von Microsoft verwaltet wird. Es kann basierend auf bewährten Sicherheitsmethoden aktualisiert werden. Standardmäßig aktiviert dieser Zustand RSC für alle nicht blockierten Apps im organization. |
EnabledForAllApps |
Benutzer können RSC-Berechtigungen für alle nicht blockierten Apps im organization zustimmen. |
EnabledForPreApprovedAppsOnly |
Benutzer im organization können nur den nicht blockierten Apps zustimmen, denen auch eine explizite Vorabgenehmigungsrichtlinie zugeordnet ist. Diese Option darf nur verwendet werden, wenn der Administrator die zulässigen RSC-Berechtigungen pro App explizit einschränken möchte. |
DisabledForAllApps |
Benutzer können den rsC-Berechtigungen, die für eine App erforderlich sind, nicht zustimmen, auch wenn die App im organization entsperrt ist. Warnung: Dieser Zustand lässt keine Installation für Apps zu, die RSC-Berechtigungen benötigen. |
Warnung
Wenn Sie Ihre Chat- oder Team-RSC-Konfiguration in DisabledForAllAppsändern, wird die Vorabgenehmigung in Ihrem Mandanten deaktiviert, und Benutzern treten Fehler auf, wenn sie RSC-fähige Apps installieren.
Aktivieren von RSC-Berechtigungen für alle nicht blockierten Apps im organization
Sie können RSC für alle nicht blockierten Apps in Ihrem organization mithilfe von PowerShell-Cmdlets aktivieren, indem Sie den Status ihrer RSC-Berechtigungseinstellung in EnabledForAllAppsändern. Sie können den Status für Chat- und Team-RSC-Einstellungen in Ihrem organization wie folgt festlegen:
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
Aktivieren von RSC nur für eine bestimmte Gruppe von Apps
Sie können eine Vorabgenehmigungsrichtlinie für bestimmte Apps mit den Berechtigungen und Vertraulichkeitsbezeichnungen der Daten erstellen, die Sie vorab genehmigen möchten. In den folgenden Abschnitten wird gezeigt, wie Sie eine Vorabgenehmigungsrichtlinie mit und ohne angefügte Vertraulichkeitsbezeichnung erstellen.
Erstellen einer Vorabgenehmigungsrichtlinie basierend auf der App-ID und den Berechtigungen
Vorabgenehmigungsrichtlinien ermöglichen Benutzern in Ihrem organization die Zustimmung zu RSC-Berechtigungen für einen bestimmten Satz von Apps. Dies bedeutet, dass Sie bestimmen können, auf welche RSC-fähigen Apps Ihre organization zugreifen können, ohne die RSC-Berechtigungen für alle Apps in Ihrem organization einzuschränken.
Um eine Vorabgenehmigungsrichtlinie ohne Vertraulichkeitsbezeichnung zu erstellen, stellen Sie sicher, dass Sie über die folgenden Informationen verfügen:
- Teams-App-ID.
- Die RSC-Berechtigungen, die der App zugeordnet sind.
- Team- oder globale Administratorrechte in Ihrem Mandanten.
Sie können PowerShell-Cmdlets verwenden, um eine Vorabgenehmigungsrichtlinie zu erstellen. Um das Cmdlet zu erstellen, müssen Sie die zuvor erwähnten Informationen mit dem New-MgBetaTeamAppPreApproval Befehl abrufen und eine der folgenden RSC-Berechtigungen angeben, die Sie im Cmdlet vorab genehmigen möchten:
| Konfiguration | Beschreibung |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Verwenden Sie diese Konfiguration beim Erstellen einer Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für einen Chat. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Verwenden Sie diese Konfiguration, wenn Sie eine Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für ein Team erstellen. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
Vorabgenehmigung einer App mit RsC-Teamberechtigungen
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Vorabgenehmigung einer App mit Chat-RSC-Berechtigungen
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
Vorabgenehmigung einer App mit Team- und Chat-RSC-Berechtigungen
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Warnung
Die Erstellung der Vorabgenehmigungsrichtlinie schlägt möglicherweise fehl, wenn Sie die falschen Berechtigungen mit dem falschen Berechtigungstyp in Ihrem Cmdlet verknüpfen. Stellen Sie sicher, dass die RsC-Chatberechtigungen mit .Chat und die RSC-Teamberechtigungen mit enden .Group.
Erstellen einer Vorabgenehmigungsrichtlinie basierend auf App-ID, Berechtigungen und Vertraulichkeitsbezeichnungen
Vorabgenehmigungsrichtlinien können erstellt werden, um RSC-Berechtigungen für bestimmte Vertraulichkeitsbezeichnungen in Ihrem Mandanten vorab zu genehmigen. Dadurch können Sie die Daten steuern, auf die RSC-fähige Apps zugreifen können. Hier erfahren Sie, wie Sie eine Vorabgenehmigungsrichtlinie basierend auf der Vertraulichkeit der Daten erstellen.
Sie können zusätzlich zu bestimmten Vertraulichkeitsbezeichnungen auch eine Vorabgenehmigungsrichtlinie für bestimmte Berechtigungen erstellen. Sie können zulassen, dass alle RSC-Zustimmungsanforderungen für eine bestimmte Berechtigung genehmigt werden. Um eine Vorabgenehmigungsrichtlinie zu erstellen, stellen Sie sicher, dass Sie über die folgenden Informationen verfügen:
- Teams-App-ID.
- Die RSC-Berechtigungen, die der App zugeordnet sind.
- Die vertraulichkeitsbezeichnungs-ID, die der Vertraulichkeitsbezeichnung zugeordnet ist. Dies ist nicht erforderlich, wenn die Richtlinie auf alle Vertraulichkeitsbezeichnungen angewendet werden soll oder wenn Sie nur Chat-RSC-Berechtigungen vorab genehmigen.
- Team- oder globale Administratorrechte in Ihrem Mandanten.
Sie können PowerShell-Cmdlets verwenden, um eine Vorabgenehmigungsrichtlinie zu erstellen. Um das Cmdlet zu erstellen, müssen Sie die zuvor erwähnten Informationen mit dem New-MgBetaTeamAppPreApproval Befehl abrufen und eine der folgenden RSC-Berechtigungen angeben, die Sie im Cmdlet vorab genehmigen möchten:
| Konfiguration | Beschreibung |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Verwenden Sie diese Konfiguration, wenn Sie eine Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für einen Chat erstellen. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Verwenden Sie diese Konfiguration, wenn Sie eine Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für ein Team erstellen. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
Sie können die SpecificSensitivityLabel Argumente verwenden, um bestimmte Vertraulichkeitsbezeichnungen zu definieren, auf die die RSC-Vorabgenehmigungsrichtlinie angewendet werden soll.
Es folgt ein Beispiel für Cmdlets, die diese Argumente verwenden:
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
Ändern der RSC-Konfiguration, um nur Apps mit benutzerdefinierten Richtlinien für die Vorabgenehmigung zuzulassen
Nachdem Sie Ihre Vorabgenehmigungsrichtlinien erstellt haben, ändern Sie die RSC-Einstellungen Ihrer organization, um die neue Richtlinie zu verwenden. Diese Einstellung ist restriktiver und kann dazu führen, dass einige Apps für Ihre Endbenutzer nicht funktionieren. Um diese Änderung vorzunehmen, ändern Sie den Status der RSC-Einstellungen Ihrer organization. Das folgende Beispiel zeigt die erforderlichen PowerShell-Cmdlets:
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
Verwalten der vorhandenen Vorabgenehmigungsrichtlinien
Nachdem Sie eine Vorabgenehmigungsrichtlinie erstellt haben, können Sie die Richtlinie ändern, um die Berechtigungen und die Vertraulichkeitsbezeichnung der Richtlinie zu ändern. Wenn Apps mit zusätzlichen Berechtigungen veröffentlicht werden, müssen Sie die Vorabgenehmigungsrichtlinie für diese App aktualisieren, um die neuen Berechtigungen hinzuzufügen, um sicherzustellen, dass die App in Ihrem Mandanten installiert werden kann. Sie benötigen dieselben Informationen, um eine vorhandene Vorabgenehmigungsrichtlinie zu verwalten und eine neue Vorabgenehmigungsrichtlinie zu erstellen.
Sie können auch eine vorhandene Vorabgenehmigungsrichtlinie löschen, wenn Sie die Vorabgenehmigung der RSC-Berechtigung einer vorhandenen App beenden möchten.
Aktualisieren einer vorhandenen Vorabgenehmigungsrichtlinie
Sie können eine Vorabgenehmigungsrichtlinie mit dem Update-MgBetaTeamAppPreApproval Cmdlet aktualisieren. Wenn Sie die zu aktualisierenden Berechtigungen angeben, müssen Sie den Typ der RSC-Berechtigungen unterscheiden.
Die folgenden RSC-Konfigurationen sind verfügbar, um eine vorhandene Vorabgenehmigungsrichtlinie zu verwalten:
| Konfiguration | Beschreibung |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Verwenden Sie diese Konfiguration, wenn Sie eine Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für einen Chat erstellen. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Verwenden Sie diese Konfiguration, wenn Sie eine Vorabgenehmigungsrichtlinie für RSC-Berechtigungen für ein Team erstellen. Verwenden Sie diese Konfiguration. Eine Liste aller Berechtigungen finden Sie unter RSC-Berechtigungen. |
Aktualisieren der Vorabgenehmigungsrichtlinie für Chat-RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
Aktualisieren der Vorabgenehmigungsrichtlinie für Team RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Wenn Sie Ihre Vorabgenehmigungsrichtlinie von einer definierten Vertraulichkeitsbezeichnung in alle Vertraulichkeitsbezeichnungen ändern möchten, müssen Sie den Wert des SpecificSensitivityLabel Arguments in Ihrer Vorabgenehmigungsrichtlinie zurücksetzen. Sie können dies tun, indem Sie das AnySensitivityLabel Argument wie folgt auf NULL festlegen:
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
Hinweis
Sie müssen alle relevanten Berechtigungen in Ihr Update-MgBetaTeamAppPreApproval Cmdlet einschließen, auch wenn Sie sie bereits in der vorhandenen Vorabgenehmigung deklariert haben.
Löschen einer vorhandenen Vorabgenehmigungsrichtlinie
Wenn Sie die Vorabgenehmigung der RSC-Berechtigung einer vorhandenen App beenden möchten, können Sie die Vorabgenehmigungsrichtlinie für diese App löschen. Um eine Vorabgenehmigungsrichtlinie zu löschen, stellen Sie sicher, dass Sie über die App-ID verfügen.
Sie können die einer App zugeordnete Vorabgenehmigungsrichtlinie löschen, indem Sie das folgende PowerShell-Cmdlet verwenden:
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e