Предварительная подготовка разрешений RSC
Предварительное согласование разрешений Resource-Specific (RSC) предоставляет администраторам детальный контроль над разрешениями RSC, которые приложение может запрашивать при установке. Разрешения RSC предоставляются приложению во время его установки. Используя политики предварительного утверждения, администраторы могут заранее объявить максимальные разрешения, которые приложение может запрашивать у конечного пользователя, и получить согласие во время установки.
Чтобы политика предварительного утверждения разрешений RSC действовала для приложения, администратор должен убедиться, что приложение включено (можно установить) в организации. Если приложение невозможно установить, предварительное утверждение разрешения для этого конкретного приложения становится неактуальным. Дополнительные сведения о включении приложений в Центре администрирования Teams см. в разделе Управление приложениями в Центре администрирования Teams.
Администраторы могут создать подробную политику предварительного одобрения на основе идентификатора приложения, разрешений и конфиденциальности данных, к которые обращаются. Предварительные разрешения RSC предназначены для администраторов, стремящихся создать расширенные настраиваемые политики для своей организации.
По умолчанию предварительными политиками управляет корпорация Майкрософт, и рекомендуется, чтобы организации поддерживали ManagedByMicrosoft состояние. Это состояние позволяет группе безопасности Майкрософт обеспечить наилучшую безопасность для вашей организации.
Примечание.
- Предварительные разрешения RSC доступны только в общедоступной предварительной версии для разработчиков.
- Предварительная подготовка разрешений RSC и ее операционных процедур могут быть изменены.
Настройка PowerShell для управления предварительной подготовкой разрешений RSC
Предварительное получение разрешений RSC осуществляется с помощью Microsoft Graph PowerShell. Дополнительные сведения об управлении Microsoft Teams с помощью PowerShell см. здесь.
Для создания, администрирования и удаления политик предварительной проверки RSC необходимо предоставить следующие разрешения командлету PowerShell:
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
Примечание.
Для первого подключения Graph к вашей организации требуются права глобального администратора.
Ниже приведен пример настройки PowerShell для управления предварительными политиками разрешений RSC.
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
Разрешение разрешений RSC для приложений в организации
Для команд и для определенных разрешений RSC для чата администраторы могут задать четыре разных состояния для своей организации. DisabledForAllApps Помимо состояния, все остальные состояния разрешают разрешения RSC в разной степени. Эти состояния можно задать с помощью Set-MgBetaChatRscConfiguration командлетов и Set-MgBetaTeamRscConfiguration .
Например, чтобы разрешить разрешения RSC для всех разблокированных приложений в организации, используйте Set-MgBetaTeamRscConfiguration -State EnabledForAllApps командлеты.
Ниже приведены различные состояния, которые разрешают и запрещают разрешения RSC в вашей организации.
| Конфигурация | Описание |
|---|---|
ManagedByMicrosoft |
Динамическая политика, администрируемая корпорацией Майкрософт. Она может быть обновлена на основе рекомендаций по обеспечению безопасности. По умолчанию это состояние включает RSC для всех разблокированных приложений в организации. |
EnabledForAllApps |
Пользователи могут согласиться на разрешения RSC для любых разблокированных приложений в организации. |
EnabledForPreApprovedAppsOnly |
Пользователи в организации могут предоставлять согласие только для тех разблокированных приложений, с которыми также связана явная политика предварительного одобрения. Этот параметр следует использовать только в том случае, если администратор хочет явно ограничить разрешенные разрешения RSC для каждого приложения. |
DisabledForAllApps |
Пользователи не могут согласиться на разрешения RSC, необходимые ни одному приложению, даже если приложение разблокировано в организации. Предупреждение: Это состояние не разрешает установку приложений, которым требуются разрешения RSC. |
Предупреждение
Если изменить конфигурацию RSC чата или команды на DisabledForAllApps, она отключает предварительную версию в клиенте, и пользователи могут столкнуться с ошибками при установке приложений с поддержкой RSC.
Включение разрешений RSC для всех разблокированных приложений в организации
Вы можете включить RSC для всех разблокированных приложений в организации с помощью командлетов PowerShell, изменив состояние параметра разрешений RSC на EnabledForAllApps. Состояние для параметров RSC чата и команды в организации можно задать следующим образом:
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
Включение RSC только для определенного набора приложений
Вы можете создать предварительную политику для определенных приложений с разрешениями и метками конфиденциальности для данных, которые вы хотите предварительно затворить. В следующих разделах показано, как создать политику предварительного одобрения с меткой конфиденциальности и без нее.
Создание предварительной политики на основе идентификатора приложения и разрешений
Предварительные политики позволяют пользователям в вашей организации давать согласие на разрешения RSC для определенного набора приложений. Это означает, что вы можете определить, к каким приложениям с поддержкой RSC может получить доступ ваша организация, не ограничивая разрешения RSC для всех приложений в вашей организации.
Чтобы создать предварительную политику без метки конфиденциальности, убедитесь, что у вас есть следующие сведения:
- Идентификатор приложения Teams.
- Разрешения RSC, связанные с приложением.
- Права для команды или глобального администратора в клиенте.
Командлеты PowerShell можно использовать для создания предварительной политики. Чтобы создать командлет, необходимо получить сведения, упомянутые ранее с New-MgBetaTeamAppPreApproval помощью команды , и указать одно из следующих разрешений RSC, которые необходимо предварительно выполнить в командлете:
| Конфигурация | Описание |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для чата. Список всех разрешений см. в разделе Разрешения RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для команды. Список всех разрешений см. в разделе Разрешения RSC. |
Предварительная подготовка приложения с разрешениями RSC команды
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Предварительная подготовка приложения с разрешениями RSC чата
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
Предварительная подготовка приложения с разрешениями RSC для команды и чата
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Предупреждение
Создание предварительной политики может завершиться ошибкой, если связать неправильные разрешения с неправильным типом разрешений в командлете. Убедитесь, что разрешения RSC чата заканчиваются .Chat на , а разрешения RSC команды — на .Group.
Создание предварительной политики на основе идентификатора приложения, разрешений и меток конфиденциальности
Предварительные политики можно создать для предварительного применения разрешений RSC для определенных меток конфиденциальности в клиенте. Это позволяет управлять данными, к которым могут получать доступ приложения с поддержкой RSC. Здесь вы можете ознакомиться с процессом создания предварительной политики на основе конфиденциальности данных.
Вы также можете создать политику предварительного одобрения для определенных разрешений в дополнение к определенным меткам конфиденциальности. Вы можете разрешить утверждение всех запросов на согласие RSC для определенного разрешения. Чтобы создать политику предварительного одобрения, убедитесь, что у вас есть следующие сведения:
- Идентификатор приложения Teams.
- Разрешения RSC, связанные с приложением.
- Идентификатор метки конфиденциальности, связанный с меткой конфиденциальности. Это не требуется, если вы хотите, чтобы политика применяла ко всем меткам конфиденциальности или если предварительно утверждены только разрешения RSC чата.
- Права для команды или глобального администратора в клиенте.
Командлеты PowerShell можно использовать для создания предварительной политики. Чтобы создать командлет, необходимо получить сведения, упомянутые ранее с New-MgBetaTeamAppPreApproval помощью команды , и указать одно из следующих разрешений RSC, которые необходимо предварительно выполнить в командлете:
| Конфигурация | Описание |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для чата. Список всех разрешений см. в разделе Разрешения RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для команды. Список всех разрешений см. в разделе Разрешения RSC. |
Аргументы можно использовать SpecificSensitivityLabel для определения определенных меток конфиденциальности для применения предварительной политики RSC.
Ниже приведен пример командлетов, использующих эти аргументы.
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
Измените конфигурацию RSC, чтобы разрешить только приложения с пользовательскими политиками предварительного одобрения.
После создания предварительных политик измените параметры RSC организации, чтобы использовать новую политику. Этот параметр является более строгим и может привести к тому, что некоторые приложения не будут работать для конечных пользователей. Чтобы внести это изменение, измените состояние параметров RSC организации. В следующем примере показаны необходимые командлеты PowerShell:
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
Управление существующими политиками предварительного одобрения
После создания предварительной политики можно изменить политику, изменив разрешения и метку конфиденциальности политики. При выпуске приложений с дополнительными разрешениями необходимо обновить политику предварительного одобрения для этого приложения, чтобы добавить новые разрешения, гарантируя, что приложение может быть установлено в клиенте. Те же сведения требуются для управления существующей предварительной политикой и создания новой предварительной политики.
Вы также можете удалить существующую политику предварительного одобрения, если хотите прекратить предварительное применение разрешения RSC для существующего приложения.
Обновление существующей предварительной политики
Вы можете обновить предварительную политику с помощью командлета Update-MgBetaTeamAppPreApproval . При указании разрешений для обновления необходимо различать тип разрешений RSC.
Для управления существующей предварительной политикой доступны следующие конфигурации RSC:
| Конфигурация | Описание |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для чата. Список всех разрешений см. в разделе Разрешения RSC. |
ResourceSpecificApplicationPermissionsAllowedForTeams |
Используйте эту конфигурацию при создании предварительной политики для разрешений RSC для команды. Используйте эту конфигурацию. Список всех разрешений см. в разделе Разрешения RSC. |
Обновление предварительной политики для RSC чата
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
Обновление предварительной политики для команды RSC
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
Если вы хотите изменить политику предварительного одобрения с определенной метки конфиденциальности на все метки конфиденциальности, необходимо сбросить значение аргумента SpecificSensitivityLabel в предварительной политике. Это можно сделать, задав для аргумента AnySensitivityLabel значение NULL, как показано ниже.
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
Примечание.
В командлет необходимо включить все соответствующие разрешения Update-MgBetaTeamAppPreApproval , даже если вы уже объявили их в существующей предварительной версии.
Удаление существующей предварительной политики
Если вы хотите прекратить предварительное применение разрешения RSC существующего приложения, можно удалить политику предварительного одобрения для этого приложения. Чтобы удалить политику предварительного одобрения, убедитесь, что у вас есть идентификатор приложения.
Вы можете удалить политику предварительного одобрения, связанную с приложением, с помощью следующего командлета PowerShell:
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e
См. также
Platform Docs