Configurar o consentimento do proprietário do grupo e da equipe para os aplicativos
Neste artigo, você aprenderá a configurar a forma como os proprietários de grupos e equipes consentem com os aplicativos e a desativar todas as operações futuras de consentimento de proprietários de grupos e equipes com os aplicativos.
Os proprietários do grupo e da equipe podem autorizar que aplicativos, como aplicativos publicados por fornecedores terceirizados, acessem os dados da sua organização associados a um grupo. Por exemplo, um proprietário de equipe no Microsoft Teams pode permitir que um aplicativo leia todas as mensagens do Teams na equipe ou liste o perfil básico dos membros de um grupo. Consulte Consentimento específico de recursos no Microsoft Teams para saber mais.
O consentimento do proprietário do grupo pode ser gerenciado de duas maneiras separadas: por meio do centro de administração do Microsoft Entra e da criação de políticas de consentimento do aplicativo. No centro de administração do Microsoft Entra, você pode habilitar o proprietário de todos os grupos, habilitar o proprietário do grupo selecionado ou desabilitar a capacidade dos proprietários do grupo de dar consentimento aos aplicativos. Por outro lado, as políticas de consentimento do aplicativo permitem que você especifique qual política de consentimento do aplicativo rege o consentimento do proprietário do grupo para aplicativos. Em seguida, você tem a flexibilidade de atribuir uma política interna da Microsoft ou criar sua própria política personalizada para gerenciar efetivamente o processo de consentimento para os proprietários do grupo.
Antes de criar a política de consentimento do aplicativo para gerenciar o consentimento do proprietário do grupo, você precisa desabilitar a configuração de consentimento do proprietário do grupo gerenciada pelo centro de administração do Microsoft Entra. Desabilitar essa configuração permite o consentimento do proprietário do grupo sujeito às políticas de consentimento do aplicativo. Você pode aprender a desabilitar a configuração de consentimento do proprietário do grupo de várias maneiras neste artigo. Saiba mais sobre como gerenciar o consentimento do proprietário do grupo por políticas de consentimento do aplicativo adaptadas às suas necessidades.
Pré-requisitos
Para configurar o consentimento do proprietário do grupo e da equipe, você precisa de:
- De uma conta de usuário. Se ainda não tem uma, crie uma conta gratuita.
- Um Administrador de Funções com Privilégios.
Gerenciar o consentimento do proprietário do grupo para aplicativos usando o Centro de administração do Microsoft Entra
Você pode configurar quais usuários têm permissão para consentir que os aplicativos acessem dados de seus grupos ou equipes ou pode desabilitar o recurso para todos os usuários.
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Para definir as configurações de consentimento do proprietário do grupo e da equipe por meio do centro de administração do Microsoft Entra:
Siga estas etapas para gerenciar o consentimento do proprietário do grupo para aplicativos que acessam dados do grupo:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.
- Em Consentimento do proprietário do grupo em aplicativos que acessam dados, selecione a opção que deseja habilitar.
- Selecione salvar para salvar suas configurações.
Neste exemplo, todos os proprietários de grupo têm permissão para dar consentimento aos aplicativos que acessam os dados de seus grupos:
Você pode usar o módulo de versão prévia do Microsoft Graph PowerShell para habilitar ou desabilitar a capacidade dos proprietários do grupo de dar consentimento a aplicativos que acessam os dados da sua organização nos grupos que eles possuem. Os cmdlets nesta seção fazem parte do módulo Microsoft.Graph.Identity.SignIns.
Conecte-se ao Microsoft Graph PowerShell e entre como pelo menos um Administrador de Funções com Privilégios. Para ler as configurações atuais de consentimento do usuário, use a permissão Policy.Read.All
. Para ler e alterar as configurações de consentimento do usuário, use a permissão Policy.ReadWrite.Authorization
.
Altere o perfil para beta usando o comando
Select-MgProfile
.Select-MgProfile -Name "beta"
Usar a permissão de privilégio mínimo
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization" # If you need to create a new setting based on the templates, please use this permission Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Recuperar a configuração atual usando o PowerShell do Microsoft Graph
Recupere o valor atual das configurações do diretório Configurações de Política de Consentimento em seu locatário. Isso exige verificar se as configurações de diretório para esse recurso foram criadas e, se não, usar os valores do modelo de configurações de diretório correspondente.
$consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
$settings = Get-MgDirectorySetting | ?{ $_.TemplateId -eq $consentSettingsTemplateId }
if (-not $settings) {
$template = Get-MgDirectorySettingTemplate -DirectorySettingTemplateId $consentSettingsTemplateId
$body = @{
"templateId" = $template.Id
"values" = @(
@{
"name" = "EnableGroupSpecificConsent"
"value" = $true
},
@{
"name" = "BlockUserConsentForRiskyApps"
"value" = $true
},
@{
"name" = "EnableAdminConsentRequests"
"value" = $true
},
@{
"name" = "ConstrainGroupSpecificConsentToMembersOfGroupId"
"value" = ""
}
)
}
$settings = New-MgDirectorySetting -BodyParameter $body
}
$enabledValue = $settings.Values | ? { $_.Name -eq "EnableGroupSpecificConsent" }
$limitedToValue = $settings.Values | ? { $_.Name -eq "ConstrainGroupSpecificConsentToMembersOfGroupId" }
Entender os valores de configuração no PowerShell do Microsoft Graph
Há dois valores de configurações que definem quais usuários podem permitir que um aplicativo acesse os dados do seu grupo:
Configuração | Type | Descrição |
---|---|---|
EnableGroupSpecificConsent | Boolean | Sinalizador que indica se os proprietários de grupos têm permissão para conceder permissões específicas do grupo. |
ConstrainGroupSpecificConsentToMembersOfGroupId | Guid | Se EnableGroupSpecificConsent for definido como "true" e esse valor for definido como a ID de objeto de um grupo, os membros do grupo identificado terão autorização para conceder permissões específicas do grupo aos grupos que eles possuem. |
Atualizar valores de configurações para a configuração desejada usando o PowerShell do Microsoft Graph
# Disable group-specific consent entirely
$enabledValue.Value = "false"
$limitedToValue.Value = ""
# Enable group-specific consent for all users
$enabledValue.Value = "true"
$limitedToValue.Value = ""
# Enable group-specific consent for users in a given group
$enabledValue.Value = "true"
$limitedToValue.Value = "{group-object-id}"
Salvar suas configurações usando o PowerShell do Microsoft Graph
```powershell
# Update an existing directory settings
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values $settings.Values
Para gerenciar as configurações de consentimento do proprietário do grupo e da equipe por meio da configuração de diretório pelo Graph Explorer:
Você precisa entrar como Administrador de Função com Privilégios. Para ler as configurações atuais de consentimento do usuário, dê consentimento para a permissão Policy.Read.All
. Para ler e alterar as configurações de consentimento do usuário, dê consentimento para a permissão Policy.ReadWrite.Authorization
.
Recuperar a configuração atual usando a API do Microsoft Graph
Recupere o valor atual de Configurações de política de consentimento no centro de administração do Microsoft Entra em seu locatário. Para isso, é necessário verificar se as configurações do diretório para esse recurso foram criadas e, caso contrário, usar a segunda chamada do Microsoft Graph para criar as configurações do diretório correspondentes.
GET https://graph.microsoft.com/beta/settings
Resposta
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": [
{
"id": "{ directorySettingId }",
"displayName": "Consent Policy Settings",
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
]
}
crie as configurações do diretório correspondentes se o value
estiver vazio (veja abaixo como exemplo).
GET https://graph.microsoft.com/beta/settings
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#settings",
"value": []
}
POST https://graph.microsoft.com/beta/settings
{
"templateId": "dffd5d46-495d-40a9-8e21-954ff55e198a",
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Entender os valores de configuração na API do Microsoft Graph
Há dois valores de configurações que definem quais usuários podem permitir que um aplicativo acesse os dados do seu grupo:
Configuração | Type | Descrição |
---|---|---|
EnableGroupSpecificConsent | Boolean | Sinalizador que indica se os proprietários de grupos têm permissão para conceder permissões específicas do grupo. |
ConstrainGroupSpecificConsentToMembersOfGroupId | Guid | Se EnableGroupSpecificConsent for definido como "true" e esse valor for definido como a ID de objeto de um grupo, os membros do grupo identificado terão autorização para conceder permissões específicas do grupo aos grupos que eles possuem. |
Atualizar valores de configurações para a configuração desejada usando a API do Microsoft Graph
Substitua {directorySettingId}
pela ID real na coleção value
ao recuperar a configuração atual
Desabilitar totalmente o consentimento específico do grupo
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "false"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Habilitar o consentimento específico do grupo para todos os usuários
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": ""
}
]
}
Habilitar o consentimento específico do grupo para usuários em um determinado grupo
PATCH https://graph.microsoft.com/beta/settings/{directorySettingId}
{
"values": [
{
"name": "EnableGroupSpecificConsent",
"value": "true"
},
{
"name": "BlockUserConsentForRiskyApps",
"value": "true"
},
{
"name": "EnableAdminConsentRequests",
"value": "true"
},
{
"name": "ConstrainGroupSpecificConsentToMembersOfGroupId",
"value": "{group-object-id}"
}
]
}
Observação
A configuração O usuário pode consentir que aplicativos acessem dados da empresa em seu nome, quando desativada, não desabilita a opção Os usuários podem consentir que aplicativos acessem dados da empresa para grupos de sua propriedade.
Gerenciar o consentimento do proprietário do grupo para aplicativos por política de consentimento do aplicativo
Você pode configurar quais usuários têm permissão para consentir com aplicativos que acessam os dados de seus grupos ou equipes por meio de políticas de consentimento do aplicativo. Para permitir o consentimento do proprietário do grupo sujeito a políticas de consentimento do aplicativo, a configuração de consentimento do proprietário do grupo deve ser desabilitada. Depois de desabilitada, sua política atual é lida das políticas de consentimento do aplicativo.
Para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos, você pode usar o módulo Microsoft Graph PowerShell. Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns.
Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégio mínimo necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All
. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization
. Você precisa entrar como Administrador de Função com Privilégios.
# change the profile to beta by using the `Select-MgProfile` command
Select-MgProfile -Name "beta".
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Desabilitar o consentimento do proprietário do grupo para usar políticas de consentimento do aplicativo usando o PowerShell do Microsoft Graph
Verifique se
ManagePermissionGrantPoliciesForOwnedResource
está no escopogroup
.Recupere o valor atual para a configuração de consentimento do proprietário do grupo.
Get-MgPolicyAuthorizationPolicy | select -ExpandProperty DefaultUserRolePermissions | ft PermissionGrantPoliciesAssigned
Se
ManagePermissionGrantPoliciesForOwnedResource
for retornado noPermissionGrantPoliciesAssigned
, a configuração de consentimento do proprietário do grupo poderá ter sido regida pela política de consentimento do aplicativo.Verifique se a política está no escopo
group
.Get-MgPolicyPermissionGrantPolicy -PermissionGrantPolicyId {"microsoft-all-application-permissions-for-group"} | ft AdditionalProperties
Se
resourceScopeType
==group
, a configuração de consentimento do proprietário do grupo foi regida pela política de consentimento do aplicativo.
Para desabilitar o consentimento do proprietário do grupo para utilizar políticas de consentimento do aplicativo, verifique se as políticas de consentimento (
PermissionGrantPoliciesAssigned
) incluem a política atualManagePermissionGrantsForSelf.*
e outras políticas atuaisManagePermissionGrantsForOwnedResource.*
, se houver que não for aplicável a grupos durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.# only exclude policies that are scoped in group $body = @{ "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @( "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ) } Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Atribuir uma política de consentimento do aplicativo aos proprietários do grupo usando o PowerShell do Microsoft Graph
Para permitir o consentimento do proprietário do grupo sujeito a uma política de consentimento do aplicativo, escolha qual política de consentimento do aplicativo deve controlar a autorização dos proprietários do grupo para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned
) incluem a política atual ManagePermissionGrantsForSelf.*
e outras políticas ManagePermissionGrantsForOwnedResource.*
se houver durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}" #new app consent policy for groups
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Substitua {app-consent-policy-id-for-group}
pela ID da política que deseja aplicar. Você pode escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:
ID | Descrição |
---|---|
microsoft-pre-approval-apps-for-group | Permitir o consentimento do proprietário do grupo somente para aplicativos pré-aprovados Permitir que os proprietários do grupo consentam apenas para aplicativos pré-aprovados pelos administradores para os grupos que possuem. |
microsoft-all-application-permissions-for-group | Permitir o consentimento do proprietário do grupo para aplicativos Essa opção permite que todos os proprietários de grupos autorizem qualquer permissão que não exija autorização do administrador, para qualquer aplicativo, para os grupos dos quais são proprietários. Ele inclui aplicativos que foram pré-aprovados pela política de pré-aprovação de concessão de permissão para consentimento específico do recurso de grupo. |
Por exemplo, para habilitar o consentimento do proprietário do grupo sujeito à política interna microsoft-all-application-permissions-for-group
, execute os seguintes comandos:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{all-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{microsoft-all-application-permissions-for-group}" # policy that is be scoped to group
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Use o Explorador do Graph para escolher qual política de consentimento do proprietário do grupo rege a capacidade dos proprietários do grupo de consentimento do usuário de consentir com aplicativos que acessam os dados da sua organização para os grupos que eles possuem.
Desabilitar o consentimento do proprietário do grupo para usar políticas de consentimento do aplicativo usando a API do Microsoft Graph
Verifique se
ManagePermissionGrantPoliciesForOwnedResource
está no escopogroup
.- Recuperar o valor atual para a configuração de consentimento do proprietário do grupo
GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy
Se
ManagePermissionGrantsForOwnedResource
for retornado nopermissionGrantPolicyIdsAssignedToDefaultUserRole
, a configuração de consentimento do proprietário do grupo poderá ter sido regida pela política de consentimento do aplicativo.2.Verifique se a política está no escopo
group
.GET https://graph.microsoft.com/beta/policies/permissionGrantPolicies/{microsoft-all-application-permissions-for-group}
Se
resourceScopeType
==group
, a configuração de consentimento do proprietário do grupo foi regida pela política de consentimento do aplicativo.Para desabilitar o consentimento do proprietário do grupo para utilizar políticas de consentimento do aplicativo, verifique se as políticas de consentimento (
PermissionGrantPoliciesAssigned
) incluem a política atualManagePermissionGrantsForSelf.*
e outras políticas atuaisManagePermissionGrantsForOwnedResource.*
, se houver que não for aplicável a grupos. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy { "defaultUserRolePermissions": { "permissionGrantPoliciesAssigned": [ "managePermissionGrantsForSelf.{current-policy-for-user-consent}", "managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}" ] } }
Atribuir uma política de consentimento do aplicativo aos proprietários do grupo usando a API do Microsoft Graph
Para permitir o consentimento do proprietário do grupo sujeito a uma política de consentimento do aplicativo, escolha qual política de consentimento do aplicativo deve controlar a autorização dos proprietários do grupo para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned
) incluem a política atual ManagePermissionGrantsForSelf.*
e outras políticas atuais ManagePermissionGrantsForOwnedResource.*
se houver durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.{app-consent-policy-id-for-group}"
}
}
Substitua {app-consent-policy-id-for-group}
pela ID da política que deseja aplicar para grupos. Você pode escolher uma política de consentimento de aplicativo personalizada para grupos que você criou ou pode escolher entre as seguintes políticas internas:
ID | Descrição |
---|---|
microsoft-pre-approval-apps-for-group | Permitir o consentimento do proprietário do grupo somente para aplicativos pré-aprovados Permitir que os proprietários do grupo consentam apenas para aplicativos pré-aprovados pelos administradores para os grupos que possuem. |
microsoft-all-application-permissions-for-group | Permitir o consentimento do proprietário do grupo para aplicativos Essa opção permite que todos os proprietários de grupos autorizem qualquer permissão que não exija autorização do administrador, para qualquer aplicativo, para os grupos dos quais são proprietários. Ele inclui aplicativos que foram pré-aprovados pela política de pré-aprovação de concessão de permissão para consentimento específico do recurso de grupo. |
Por exemplo, para habilitar o consentimento do proprietário do grupo sujeito à política integrada microsoft-pre-approval-apps-for-group
, use o seguinte comando PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.{current-policy-for-user-consent}",
"managePermissionGrantsForOwnedResource.{other-policies-that-are-not-applicable-to-groups}",
"managePermissionGrantsForOwnedResource.microsoft-pre-approval-apps-for-group"
]
}
}
Próximas etapas
Para obter ajuda ou encontrar respostas às suas perguntas: