Freigeben über


Verwalten von App-Einwilligungsrichtlinien für Gruppenbesitzer*innen

App-Einwilligungsrichtlinien sind eine Möglichkeit, die Berechtigungen zu verwalten, die Apps für den Zugriff auf Daten in Ihrer Organisation haben. Damit können Sie steuern, in welche Apps Benutzer*innen einwilligen können, und sicherstellen, dass Apps bestimmte Kriterien erfüllen, bevor sie auf Daten zugreifen können. Diese Richtlinien helfen Organisationen dabei, die Kontrolle über ihre Daten zu behalten und sicherzustellen, dass nur vertrauenswürdige Apps auf sie zugreifen können.

In diesem Artikel erfahren Sie, wie Sie integrierte und benutzerdefinierte App-Einwilligungsrichtlinien verwalten können, um zu steuern, wann eine Einwilligung durch Gruppenbesitzer*innen erteilt werden kann.

Mit Microsoft Graph und Microsoft Graph PowerShell können Sie Einwilligungsrichtlinien für Gruppenbesitzer*innen anzeigen und verwalten.

Eine Einwilligungsrichtlinie für Gruppenbesitzer*innen besteht aus null oder mehreren „include“-Bedingungssätzen und null oder mehreren „exclude“-Bedingungssätzen. Damit ein Ereignis in einer Einwilligungsrichtlinie für Gruppenbesitzer*innen berücksichtigt wird, muss es mindestens einem „include“-Bedingungssatz und keinem „exclude“-Bedingungssätzen entsprechen.

Jeder Bedingungssatz besteht aus mehreren Bedingungen. Damit ein Ereignis einem Bedingungssatz entspricht, müssen alle Bedingungen im Satz erfüllt werden.

Einwilligungsrichtlinien für Gruppenbesitzer*innen, bei denen die ID mit „microsoft-“ beginnt, sind integrierte Richtlinien. Die Einwilligungsrichtlinien für Gruppenbesitzer*innen „microsoft-pre-approval-apps-for-group“ beschreibt beispielsweise die Bedingungen, unter denen die Gruppenbesitzer*innen Anwendungen aus der vorab vom Administrator bzw. der Administratorin genehmigten Liste ihre Einwilligung geben dürfen, auf Daten für die Gruppen, die sie besitzen, zuzugreifen. Integrierte Richtlinien können in benutzerdefinierten Verzeichnisrollen sowie zum Konfigurieren von Einstellungen für die Benutzereinwilligung verwendet, aber nicht bearbeitet oder gelöscht werden.

Voraussetzungen

Stellen Sie zum Verwalten von Einwilligungsrichtlinien für Gruppenbesitzer*innen für Anwendungen mit Microsoft Graph PowerShell eine Verbindung mit Microsoft Graph PowerShell her, und melden Sie sich mit einer der im Abschnitt „Voraussetzungen“ aufgeführten Rollen an. Sie müssen auch in die Berechtigung Policy.ReadWrite.PermissionGrant einwilligen.

# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant"

Erfahren Sie, wie Sie überprüfen können, ob die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert wurde.

  1. Abrufen des aktuellen Werts für die Einstellung der Gruppenbesitzereinwilligung

      Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
    

    Wenn ManagePermissionGrantPoliciesForOwnedResource in PermissionGrantPoliciesAssigned zurückgegeben wird, wurde ihre Einstellung für die Einwilligung durch Gruppenbesitzer*innen möglicherweise auf andere Weise autorisiert.

  2. Überprüfen Sie, ob die Richtlinie auf group beschränkt ist.

       Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | Select -ExpandProperty AdditionalProperties
    

Wenn ResourceScopeType == group, wurde die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert. Wenn die App-Einwilligungsrichtlinie für Gruppen microsoft-pre-approval-apps-for-group zugewiesen wurde, bedeutet dies außerdem, dass das Vorabgenehmigungsfeature für Ihren Mandanten aktiviert ist.

Es ist ratsam, sich mit den vorhandenen Einwilligungsrichtlinien für Gruppenbesitzer*innen in Ihrer Organisation vertraut zu machen:

  1. Listen Sie alle Einwilligungsrichtlinien für Gruppenbesitzer*innen auf:

    Get-MgPolicyPermissionGrantPolicy | ft Id, DisplayName, Description
    
  2. Anzeigen der „include“-Bedingungssätze einer Richtlinie:

    Get-MgPolicyPermissionGrantPolicyInclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
    
  3. Anzeigen der „exclude“-Bedingungssätze:

    Get-MgPolicyPermissionGrantPolicyExclude -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | fl
    

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen zu erstellen:

  1. Erstellen Sie eine neue leere Einwilligungsrichtlinie für Gruppenbesitzer*innen.

    New-MgPolicyPermissionGrantPolicy `
        -Id "my-custom-app-consent-policy-for-group" `
        -DisplayName "My first custom app consent policy for group" `
        -Description "This is a sample custom app consent policy for group." `
        -AdditionalProperties @{includeAllPreApprovedApplications = $false; resourceScopeType = "group"}
    
  2. Fügen Sie „include“-Bedingungssätze hinzu.

    # Include delegated permissions classified "low", for apps from verified publishers
    New-MgPolicyPermissionGrantPolicyInclude `
        -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
        -PermissionType "delegated" `
        -PermissionClassification "low" `
        -ClientApplicationsFromVerifiedPublisherOnly
    

    Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „include“ hinzuzufügen.

  3. Fügen Sie optional „exclude“-Bedingungssätze hinzu.

    # Retrieve the service principal for the Azure Management API
    $azureApi = Get-MgServicePrincipal -Filter "servicePrincipalNames/any(n:n eq 'https://management.azure.com/')"
    
    # Exclude delegated permissions for the Azure Management API
    New-MgPolicyPermissionGrantPolicyExclude `
        -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group" `
        -PermissionType "delegated" `
        -ResourceApplication $azureApi.AppId
    

    Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „exclude“ hinzuzufügen.

Sobald die Richtlinie zur Einwilligung für die App für die Gruppe erstellt wurde, können Sie eine Einwilligung durch Gruppenbesitzer*innen zulassen, die dieser Richtlinie unterliegt.

  1. Im Folgenden wird gezeigt, wie Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen löschen können.

    Remove-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId "my-custom-app-consent-policy-for-group"
    

Melden Sie sich mit einer der im Abschnitt „Voraussetzungen“ aufgeführten Rollen bei Graph-Tester an, um die Einwilligungsrichtlinien für Gruppenbesitzer*innen zu verwalten. Sie müssen auch in die Berechtigung Policy.ReadWrite.PermissionGrant einwilligen.

Erfahren Sie, wie Sie überprüfen können, ob die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert wurde.

  1. Abrufen des aktuellen Richtlinienwerts

    GET /policies/authorizationPolicy
    

    Wenn ManagePermissionGrantPoliciesForOwnedResource angezeigt wird, wurde ihre Einstellung für die Einwilligung durch Gruppenbesitzer*innen möglicherweise auf andere Weise autorisiert.

  2. Überprüfen, ob sich die Richtlinie auf den Bereich group bezieht

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }
    

    Wenn resourceScopeType == group, wurde die Einstellung für die Einwilligung durch Gruppenbesitzer*innen auf andere Weise autorisiert. Wenn die App-Einwilligungsrichtlinie für Gruppen microsoft-pre-approval-apps-for-group zugewiesen wurde, bedeutet dies außerdem, dass das Vorabgenehmigungsfeature für Ihren Mandanten aktiviert ist.

Es ist ratsam, sich mit den vorhandenen Einwilligungsrichtlinien für Gruppenbesitzer*innen in Ihrer Organisation vertraut zu machen:

  1. Auflisten aller Richtlinien zur Einwilligung für die App:

    GET /policies/permissionGrantPolicies
    
  2. Anzeigen der „include“-Bedingungssätze einer Richtlinie:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/includes
    
  3. Anzeigen der „exclude“-Bedingungssätze:

    GET /policies/permissionGrantPolicies/{ microsoft-all-application-permissions-for-group }/excludes
    

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen zu erstellen:

  1. Erstellen Sie eine neue leere Einwilligungsrichtlinie für Gruppenbesitzer*innen.

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies
    
    {
      "id": "my-custom-app-consent-policy-for-group",
      "displayName": "My first custom app consent policy for group",
      "description": "This is a sample custom app consent policy for group",
      "includeAllPreApprovedApplications": false,
      "resourceScopeType": "group"
    }
    
  2. Fügen Sie „include“-Bedingungssätze hinzu.

    Einschließen von als „niedrig“ klassifizierten delegierten Berechtigungen für Apps von verifizierten Herausgebern

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/includes
    
    {
      "permissionType": "delegated",
      "permissionClassification": "low",
      "clientApplicationsFromVerifiedPublisherOnly": true
    }
    

    Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „include“ hinzuzufügen.

  3. Fügen Sie optional „exclude“-Bedingungssätze hinzu. Delegierte Berechtigungen für die Azure-Verwaltungs-API ausschließen (appId 00001111-aaaa-2222-bbbb-3333cccc4444)

    POST https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/{ my-custom-app-consent-policy-for-group }/excludes
    
    {
      "permissionType": "delegated",
      "resourceApplication": "00001111-aaaa-2222-bbbb-3333cccc4444 "
    }
    

    Wiederholen Sie diesen Schritt, um weitere Bedingungssätze vom Typ „exclude“ hinzuzufügen.

Sobald die Einwilligungsrichtlinie für Gruppenbesitzer*innen erstellt wurde, können Sie eine Einwilligung durch Gruppenbesitzer*innen zulassen, die dieser Richtlinie unterliegt.

  1. Im Folgenden wird gezeigt, wie Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen löschen können.

    DELETE https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies/ my-custom-policy
    

Warnung

Gelöschte Einwilligungsrichtlinien für Gruppenbesitzer*innen können nicht wiederhergestellt werden. Wenn Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen versehentlich löschen, müssen Sie diese erneut erstellen.

Unterstützte Bedingungen

Die folgende Tabelle enthält die Liste der unterstützten Bedingungen für Einwilligungsrichtlinien für Gruppenbesitzer*innen.

Bedingung Beschreibung
PermissionClassification Die Berechtigungsklassifizierung für die erteilte Berechtigung oder „all“ zum Abgleich mit jeder beliebigen Berechtigungsklassifizierung (einschließlich nicht klassifizierter Berechtigungen). Der Standardwert ist „all“.
PermissionType Der Berechtigungstyp der erteilten Berechtigung. Verwenden Sie „Anwendung“ für Anwendungsberechtigungen (z. B. App-Rollen) oder „delegiert“ für delegierte Berechtigungen.

Hinweis: Der Wert „delegatedUserConsentable“ gibt delegierte Berechtigungen an, die vom API-Herausgeber nicht zum Anfordern der Administratoreinwilligung konfiguriert wurden. Dieser Wert kann in integrierten Richtlinien zur Berechtigungszuweisung, aber nicht in benutzerdefinierten Richtlinien zur Berechtigungszuweisung verwendet werden. Erforderlich.
ResourceApplication Die App-ID (AppId) der Ressourcenanwendung (z. B. die API), für die eine Berechtigung erteilt wird, oder „any“ zum Abgleich mit einer beliebigen Ressourcenanwendung oder API. Der Standardwert ist „any“.
Berechtigungen Die Liste der Berechtigungs-IDs für die spezifischen Berechtigungen, mit denen abgeglichen werden soll, oder eine Liste mit dem einzelnen Wert „all“ für den Abgleich mit jeder beliebigen Berechtigung. Standard ist der einzelne Wert „all“.
– IDs für delegierte Berechtigungen finden Sie in der Eigenschaft OAuth2Permissions des ServicePrincipal-Objekts der API.
– IDs für Anwendungsberechtigungen finden Sie in der Eigenschaft AppRoles des ServicePrincipal-Objekts der API.
ClientApplicationIds Eine Liste von AppId-Werten für die Clientanwendungen, mit denen abgeglichen werden soll, oder eine Liste mit dem einzelnen Wert „all“ zum Abgleichen einer beliebigen Clientanwendung. Standard ist der einzelne Wert „all“.
ClientApplicationTenantIds Eine Liste der Microsoft Entra-Mandanten-IDs, in denen die Clientanwendung registriert ist, oder eine Liste mit dem einzelnen Wert „all“, die mit den in einem beliebigen Mandanten registrierten Client-Apps abgeglichen werden soll. Standard ist der einzelne Wert „all“.
ClientApplicationPublisherIds Eine Liste von Microsoft Partner Network (MPN)-IDs für verifizierte Herausgeber der Clientanwendung, oder eine Liste mit dem einzelnen Wert „all“, die mit Client-Apps von jedem beliebigen Herausgeber abgeglichen werden soll. Standard ist der einzelne Wert „all“.
ClientApplicationsFromVerifiedPublisherOnly Legen Sie diesen Wert fest, damit nur Clientanwendungen mit einem verifizierten Herausgeber abgeglichen werden. Deaktivieren Sie diesen Switch (-ClientApplicationsFromVerifiedPublisherOnly:$false), damit jede beliebige Client-App sogar dann abgeglichen wird, wenn es dafür keinen verifizierten Herausgeber gibt. Der Standardwert ist $false.

Warnung

Gelöschte Einwilligungsrichtlinien für Gruppenbesitzer*innen können nicht wiederhergestellt werden. Wenn Sie eine benutzerdefinierte Einwilligungsrichtlinie für Gruppenbesitzer*innen versehentlich löschen, müssen Sie diese erneut erstellen.

So erhalten Sie Hilfe oder finden Antworten auf Ihre Fragen: