Aplicación previa de permisos de RSC
Resource-Specific permisos de consentimiento (RSC) preaplicación proporciona a los administradores un control pormenorizado sobre los permisos de RSC que una aplicación puede solicitar tras la instalación. Los permisos de RSC se conceden a una aplicación en el momento en que se instala la aplicación. Mediante el uso de directivas de aprobación previa, los administradores pueden declarar con antelación los permisos máximos que una aplicación puede solicitar al usuario final y dar su consentimiento durante el tiempo de instalación.
Para que una directiva de aprobación previa de permisos de RSC surta efecto para una aplicación, el administrador debe asegurarse de que la aplicación está habilitada (instalable) en su organización. Si la aplicación no se puede instalar, la aprobación previa del permiso para esa aplicación específica pasa a ser irrelevante. Para obtener más información sobre cómo habilitar aplicaciones en el Centro de Administración de Teams, consulte Administración de aplicaciones en el Centro de Administración de Teams.
Los administradores pueden crear una directiva de preaplicación detallada en función del identificador de aplicación, los permisos y la confidencialidad de los datos a los que se accede. La aplicación previa de permisos de RSC está diseñada para administradores que buscan crear directivas personalizadas avanzadas para su organización.
De forma predeterminada, Microsoft administra las directivas de preaplicación y se recomienda que las organizaciones mantengan ManagedByMicrosoft el estado. Este estado permite al equipo de seguridad de Microsoft ofrecer la mejor seguridad para su organización.
Nota:
- La aplicación previa de permisos de RSC solo está disponible en la versión preliminar del desarrollador público.
- La aplicación previa de los permisos de RSC y sus procedimientos operativos están sujetos a cambios.
Configuración de PowerShell para administrar la aplicación previa de permisos de RSC
La aplicación previa de los permisos de RSC se administra a través de PowerShell de Microsoft Graph. Puede obtener más información sobre cómo administrar Microsoft Teams con PowerShell aquí.
Para crear, administrar y eliminar directivas de preaplicación de RSC, debe conceder los siguientes permisos al cmdlet de PowerShell:
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
Nota:
Necesita privilegios de nivel de administrador global para conectar Graph con su organización por primera vez.
A continuación se muestra un ejemplo de la configuración de PowerShell para administrar directivas de aplicación previa de permisos de RSC:
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
Permitir permisos de RSC para aplicaciones de su organización
Tanto para los permisos de RSC específicos del equipo como del chat, los administradores pueden establecer cuatro estados diferentes para su organización. Además del DisabledForAllApps estado, todos los demás estados permiten permisos de RSC en diferentes grados. Estos estados se pueden establecer a través Set-MgBetaChatRscConfiguration de cmdlets y Set-MgBetaTeamRscConfiguration .
Por ejemplo, para permitir permisos de RSC para todas las aplicaciones desbloqueadas de su organización, use los Set-MgBetaTeamRscConfiguration -State EnabledForAllApps cmdlets.
Los siguientes son los distintos estados que permiten y no permiten permisos de RSC en su organización:
| Configuración | Descripción |
|---|---|
ManagedByMicrosoft |
Directiva dinámica administrada por Microsoft. Puede actualizarse en función de los procedimientos recomendados de seguridad. De forma predeterminada, este estado habilita RSC para todas las aplicaciones desbloqueadas de la organización. |
EnabledForAllApps |
Los usuarios pueden dar su consentimiento a los permisos de RSC para las aplicaciones desbloqueadas de la organización. |
EnabledForPreApprovedAppsOnly |
Los usuarios de la organización solo pueden dar su consentimiento a aquellas aplicaciones desbloqueadas que también tengan asociada una directiva de preaplicación explícita. Esta opción solo se debe usar si el administrador quiere limitar explícitamente los permisos de RSC permitidos por aplicación. |
DisabledForAllApps |
Los usuarios no pueden dar su consentimiento a los permisos de RSC requeridos por ninguna aplicación, incluso si la aplicación está desbloqueada en la organización. Advertencia: Este estado no permite la instalación de aplicaciones que necesitan permisos de RSC. |
Advertencia
Si cambia la configuración de RSC de grupo o chat a DisabledForAllApps, deshabilita la aplicación previa en el inquilino y los usuarios se ejecutan en errores al instalar aplicaciones habilitadas para RSC.
Habilitación de permisos de RSC para todas las aplicaciones desbloqueadas de la organización
Puede habilitar RSC para todas las aplicaciones desbloqueadas de su organización mediante cmdlets de PowerShell cambiando el estado de configuración de permisos de RSC a EnabledForAllApps. Puede establecer el estado de la configuración de RSC de chat y equipo en su organización de la siguiente manera:
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
Habilitar RSC solo para un conjunto específico de aplicaciones
Puede crear una directiva de preaplicación para aplicaciones específicas con los permisos y las etiquetas de confidencialidad de los datos que desea que se aprobe previamente. En las secciones siguientes se muestra cómo crear una directiva de preaplicación con y sin una etiqueta de confidencialidad adjunta.
Creación de una directiva de aplicación previa basada en el identificador de aplicación y los permisos
Las directivas de preaplicación permiten a los usuarios de su organización dar su consentimiento a los permisos de RSC para un conjunto específico de aplicaciones. Esto implica que puede determinar a qué aplicaciones habilitadas para RSC puede acceder su organización, sin limitar los permisos de RSC para todas las aplicaciones de la organización.
Para crear una directiva de preaplicación sin una etiqueta de confidencialidad, asegúrese de que tiene la siguiente información:
- Identificador de aplicación de Teams.
- Permisos de RSC asociados a la aplicación.
- Privilegio de equipo o administrador global en el inquilino.
Puede usar cmdlets de PowerShell para crear una directiva de preaplicación. Para crear el cmdlet, debe obtener la información mencionada anteriormente con el New-MgBetaTeamAppPreApproval comando y especificar uno de los siguientes permisos de RSC que desea aplicar previamente en el cmdlet:
| Configuración | Descripción |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Use esta configuración al crear una directiva de aplicación previa para los permisos de RSC para un chat. Para obtener una lista de todos los permisos, consulte Permisos de RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Use esta configuración al crear una directiva de aplicación previa para los permisos de RSC para un equipo. Para obtener una lista de todos los permisos, consulte Permisos de RSC. |
Aprobación previa de una aplicación con permisos de RSC de equipo
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Aprobación previa de una aplicación con permisos de RSC de chat
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
Aprobación previa de una aplicación con permisos de RSC de equipo y chat
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Advertencia
Es posible que se produzca un error en la creación de la directiva de aplicación previa si vincula los permisos incorrectos con el tipo de permiso incorrecto en el cmdlet. Asegúrese de que los permisos de RSC de chat terminen con .Chat y que los permisos de RSC del equipo terminen con .Group.
Creación de una directiva de preaplicación basada en el identificador de la aplicación, los permisos y las etiquetas de confidencialidad
Las directivas de preaplicación se pueden crear para aprobar previamente los permisos de RSC en determinadas etiquetas de confidencialidad del inquilino. Esto le permite controlar los datos a los que pueden acceder las aplicaciones habilitadas para RSC. Aquí puede obtener información sobre el proceso para crear una directiva de preaplicación basada en la confidencialidad de los datos.
También puede crear una directiva de preaplicación para permisos específicos, además de etiquetas de confidencialidad específicas. Puede permitir que todas las solicitudes de consentimiento de RSC se aprueben para un permiso determinado. Para crear una directiva de preaplicación, asegúrese de que tiene la siguiente información:
- Identificador de aplicación de Teams.
- Permisos de RSC asociados a la aplicación.
- Identificador de etiqueta de confidencialidad asociado a la etiqueta de confidencialidad. Esto no es necesario si desea que la directiva se aplique a todas las etiquetas de confidencialidad o si solo aprueba previamente los permisos de RSC de chat.
- Privilegio de equipo o administrador global en el inquilino.
Puede usar cmdlets de PowerShell para crear una directiva de preaplicación. Para crear el cmdlet, debe obtener la información mencionada anteriormente con el New-MgBetaTeamAppPreApproval comando y especificar uno de los siguientes permisos de RSC que desea aplicar previamente en el cmdlet:
| Configuración | Descripción |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Use esta configuración al crear una directiva de preaplicación para los permisos de RSC para un chat. Para obtener la lista de todos los permisos, consulte Permisos de RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Use esta configuración al crear una directiva de aplicación previa para los permisos de RSC para un equipo. Para obtener la lista de todos los permisos, consulte Permisos de RSC. |
Puede usar los SpecificSensitivityLabel argumentos para definir etiquetas de confidencialidad específicas a las que aplicar la directiva de preaplicación de RSC.
A continuación se muestra un ejemplo de cmdlets que usan estos argumentos:
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
Cambiar la configuración de RSC para permitir solo aplicaciones con directivas de preaplicación definidas personalizadas
Después de crear las directivas de preaplicación, cambie la configuración de RSC de su organización para usar la nueva directiva. Esta configuración es más restrictiva y puede provocar que algunas aplicaciones no funcionen para los usuarios finales. Para realizar este cambio, cambie el estado de la configuración de RSC de su organización. En el ejemplo siguiente se muestran los cmdlets de PowerShell necesarios:
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
Administración de las directivas de preaplicación existentes
Después de crear una directiva de preaplicación, puede modificarla para cambiar los permisos y la etiqueta de confidencialidad de la directiva. Cuando las aplicaciones se publican con permisos adicionales, debe actualizar la directiva de preaplicación para esa aplicación para agregar los nuevos permisos, lo que garantiza que la aplicación se pueda instalar en el inquilino. Necesita la misma información para administrar una directiva de preaplicación existente y crear una nueva directiva de preaplicación.
También puede eliminar una directiva de preaplicación existente si desea dejar de aprobar previamente el permiso RSC de una aplicación existente.
Actualización de una directiva de preaplicación existente
Puede actualizar una directiva de preaplicación con el Update-MgBetaTeamAppPreApproval cmdlet . Al especificar los permisos que se van a actualizar, debe distinguir el tipo de permisos de RSC.
Las siguientes configuraciones de RSC están disponibles para administrar una directiva de aplicación previa existente:
| Configuración | Descripción |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Use esta configuración al crear una directiva de preaplicación para los permisos de RSC para un chat. Para obtener la lista de todos los permisos, consulte Permisos de RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Use esta configuración al crear una directiva de aplicación previa para los permisos de RSC para un equipo, use esta configuración. Para obtener la lista de todos los permisos, consulte Permisos de RSC. |
Actualización de la directiva de preaplicación para RSC de chat
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
Actualización de la directiva de preaplicación para el equipo RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Si desea cambiar la directiva de preaplicación de una etiqueta de confidencialidad definida a todas las etiquetas de confidencialidad, debe restablecer el valor del argumento en la SpecificSensitivityLabel directiva de preaplicación. Para ello, establezca el AnySensitivityLabel argumento en null como se indica a continuación:
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
Nota:
Debe incluir todos los permisos pertinentes en el Update-MgBetaTeamAppPreApproval cmdlet, incluso si ya los ha declarado en la aplicación previa existente.
Eliminación de una directiva de preaplicación existente
Si desea dejar de aprobar previamente el permiso RSC de una aplicación existente, puede eliminar la directiva de aplicación previa para esa aplicación. Para eliminar una directiva de preaplicación, asegúrese de que tiene el identificador de aplicación.
Puede eliminar la directiva de preaplicación asociada a una aplicación mediante el siguiente cmdlet de PowerShell:
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e