Utilizar grupos externos para gerir permissões para origens de dados de conectores do Microsoft Graph

Os grupos externos permitem-lhe gerir permissões para ver itens externos numa ligação do Microsoft Graph e ligar a origens de dados fora Microsoft Entra grupos.

Para origens de dados que dependem de utilizadores e grupos Microsoft Entra, pode definir permissões em itens externos ao associar uma lista de controlo de acesso (ACL) a um Microsoft Entra ID de utilizador e grupo ao criar ou atualizar os itens externos.

No entanto, para origens de dados que utilizam grupos não Microsoft Entra ID ou construções semelhantes a grupos, como Perfis do Salesforce, Unidades de Negócio do Dynamics, grupos do SharePoint, grupos locais do ServiceNow ou grupos locais do Confluence, recomendamos que utilize grupos externos.

Cenários de grupo externo comuns

Seguem-se exemplos comuns de grupos não Microsoft Entra ID específicos da aplicação.

O Microsoft Dynamics 365 permite aos clientes estruturar as suas CRMs com unidades de negócio e equipas. As informações de associação para estas unidades de negócio e equipas não são armazenadas no Microsoft Entra ID.

A imagem seguinte mostra a estrutura das unidades de negócio e das equipas.

O Salesforce utiliza perfis, funções e conjuntos de permissões para autorização. Estas são específicas do Salesforce e as informações de associação não estão disponíveis no Microsoft Entra ID.

A imagem seguinte mostra a estrutura das informações de associação no Salesforce.

Utilizar grupos externos na sua ligação

Para utilizar grupos externos na sua ligação, siga estes passos:

1. Para cada grupo não Microsoft Entra ID, utilize a API de grupos para criar um grupo externo no Microsoft Graph.
2. Utilize o grupo externo ao definir a ACL para os seus itens externos conforme necessário.
3. Mantenha a associação dos grupos externos atualizada e sincronizada.

Criar um grupo externo

Os grupos externos pertencem a uma ligação. Siga estes passos para criar grupos externos nas suas ligações:

1. Utilize a API de grupos no Microsoft Graph. O exemplo seguinte mostra como criar um grupo externo.

   Observação

   O displayName e a descrição são campos opcionais.

   POST /external/connections/{connectionId}/groups
   
   { 
     "id": "contosoEscalations", 
     "displayName": "Contoso Escalations", 
     "description": "Tier-1 escalations within Contoso"
   } 
   

2. Forneça um identificador ou um nome no campo ID. Utilize este valor para chamar o grupo externo em pedidos subsequentes.

   Observação

   O campo ID permite-lhe utilizar conjuntos de carateres Base64 seguros de nome de ficheiro e URL. Tem um limite de 128 carateres.

   Um grupo externo pode conter uma ou mais das seguintes opções:

   • Um utilizador Microsoft Entra.
   • Um grupo Microsoft Entra.
   • Outro grupo externo, incluindo grupos externos aninhados.

3. Depois de criar o grupo, pode adicionar membros ao mesmo. Os exemplos seguintes mostram como adicionar membros a um grupo externo.

   POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members
   
   {
     "id": "contosoSupport",
     "type": "group",
     "identitySource": "external"
   }
   

   POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members
   
   {
     "id": "25f143de-be82-4afb-8a57-e032b9315752",
     "type": "user",
     "identitySource": "azureActiveDirectory"
   }
   

   POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members
   
   {
     "id": "99a3b3d6-71ee-4d21-b08b-4b6f22e3ae4b",
     "type": "group",
     "identitySource": "azureActiveDirectory"
   }
   

Utilizar grupos externos na ACL

Pode utilizar grupos externos ao definir ACLs para itens externos , conforme mostrado no exemplo seguinte. Além de Microsoft Entra utilizadores e grupos, um item externo pode ter grupos externos nas respetivas entradas de controlo de acesso.

PUT https://graph.microsoft.com/beta/external/connections/{id}/items/{id} 

Content-type: application/json 
{ 
  "@odata.type": "microsoft.graph.externalItem", 
  "acl": [ 
    { 
      "type": "group", 
      "value": "contosEscalations", 
      "accessType": "grant", 
      "identitySource": "External" 
    }, 
    { 
      "type": "user", 
      "value": "87e9089a-08d5-4d9e-9524-b7bd6be580d5", 
      "accessType": "grant", 
      "identitySource": "azureActiveDirectory" 
    }, 
    { 
      "type": "group", 
      "value": "96fbeb4f-f71c-4405-9f0b-1d6988eda2d2", 
      "accessType": "deny", 
      "identitySource": "azureActiveDirectory" 
    } 
  ], 
  "properties": { 
    "title": "Error in the payment gateway", 
    "priority": 1, 
    "assignee": "john@contoso.com" 
  }, 
  "content": { 
    "value": "<h1>Error in payment gateway</h1><p>Error details...</p>", 
    "type": "html" 
  } 
} 

Observação

Pode utilizar grupos externos em ACLs mesmo antes de os grupos serem criados.

Manter as associações a grupos externos sincronizadas

Mantenha a associação do seu grupo externo atualizada no Microsoft Graph. Quando as associações forem alteradas no seu grupo personalizado, certifique-se de que a alteração é refletida no grupo externo de uma vez que funcione para as suas necessidades.

Gerir grupos externos e associação

Pode utilizar a API de grupos para gerir os grupos externos e a associação a grupos. Para obter mais informações, veja externalGroup e externalGroupMember.

Observação

Um utilizador deve ter menos de 2049 associações a grupos de segurança externos, incluindo associações diretas e indiretas. Quando este limite é excedido, os resultados da pesquisa tornam-se imprevisíveis. As consultas de utilizadores com mais de 10 000 grupos de segurança externos falharão com uma 400 resposta.

Conteúdo relacionado

• Saiba mais sobre os limites da API dos conectores do Microsoft Graph
• Trabalhar com a API de conectores do Microsoft Graph
• Use o Postman com a API de conectores do Microsoft Graph