RSC アクセス許可の事前適用
Resource-Specific 同意 (RSC) アクセス許可の事前適用により、管理者はインストール時にアプリが要求できる RSC アクセス許可をきめ細かく制御できます。 RSC アクセス許可は、アプリがインストールされた時点でアプリに付与されます。 事前承認ポリシーを使用することで、管理者は、アプリがエンド ユーザーに要求し、インストール時に同意できる最大アクセス許可を事前に宣言できます。
RSC アクセス許可の事前承認ポリシーをアプリに対して有効にするには、管理者は組織内でアプリが有効 (インストール可能) であることを確認する必要があります。 アプリがインストールできない場合、その特定のアプリのアクセス許可の事前承認は無関係になります。 Teams 管理センターでアプリを有効にする方法の詳細については、「 Teams 管理センターでのアプリの管理」を参照してください。
管理者は、アプリ ID、アクセス許可、アクセスされたデータの機密性に基づいて、詳細な事前適用ポリシーを作成できます。 RSC アクセス許可の事前適用は、組織の高度なカスタム ポリシーを作成しようとしている管理者向けに設計されています。
既定では、事前適用ポリシーは Microsoft によって管理され、組織は状態を維持 ManagedByMicrosoft することをお勧めします。 この状態により、Microsoft のセキュリティ チームは組織に最適なセキュリティを提供できます。
注:
- RSC アクセス許可の事前適用は、 パブリック開発者プレビューでのみ使用できます。
- RSC のアクセス許可とその操作手順の事前適用は変更される可能性があります。
RSC アクセス許可の事前適用を管理するように PowerShell を設定する
RSC アクセス許可の事前適用は、Microsoft Graph PowerShell を使用して管理されます。 PowerShell を使用したMicrosoft Teamsの管理の詳細については 、こちらを参照してください。
RSC 事前適用ポリシーを作成、管理、削除するには、PowerShell コマンドレットに次のアクセス許可を付与する必要があります。
TeamworkAppSettings.ReadWrite.AllPolicy.ReadWrite.AuthorizationAppCatalog.Read.AllPolicy.ReadWrite.PermissionsGrantInformationProtectionPolicy.ReadApplication.ReadWrite.All
注:
Graph を組織に初めて接続するには、グローバル管理者レベルの特権が必要です。
RSC アクセス許可の事前適用ポリシーを管理するための PowerShell セットアップの例を次に示します。
Connect-MgGraph -Scopes @('TeamworkAppSettings.ReadWrite.All', 'Policy.ReadWrite.Authorization', 'AppCatalog.Read.All', 'Policy.ReadWrite.PermissionGrant', 'InformationProtectionPolicy.Read', 'Application.ReadWrite.All')
組織内のアプリの RSC アクセス許可を許可する
チームとチャット固有の RSC アクセス許可の両方について、管理者は組織に対して 4 つの異なる状態を設定できます。 状態とは DisabledForAllApps 別に、他のすべての状態では、RSC のアクセス許可が異なる度に許可されます。 これらの状態は、 コマンドレットをSet-MgBetaTeamRscConfiguration使用してSet-MgBetaChatRscConfiguration設定できます。
たとえば、組織内のすべてのブロック解除されたアプリに対して RSC アクセス許可を許可するには、コマンドレットを Set-MgBetaTeamRscConfiguration -State EnabledForAllApps 使用します。
組織内の RSC アクセス許可を許可および禁止するさまざまな状態を次に示します。
| 構成 | 説明 |
|---|---|
ManagedByMicrosoft |
Microsoft によって管理される動的ポリシー。 ベスト セキュリティ プラクティスに基づいて更新される場合があります。 既定では、この状態により、組織内のすべてのブロック解除されたアプリに対して RSC が有効になります。 |
EnabledForAllApps |
ユーザーは、組織内のブロック解除されたアプリに対する RSC アクセス許可に同意できます。 |
EnabledForPreApprovedAppsOnly |
組織内のユーザーは、明示的な事前適用ポリシーが関連付けられているブロック解除されたアプリにのみ同意できます。 このオプションは、管理者がアプリごとに許可される RSC アクセス許可を明示的に制限する場合にのみ使用する必要があります。 |
DisabledForAllApps |
組織内でアプリのブロックが解除されていても、ユーザーはどのアプリにも必要な RSC アクセス許可に同意できません。 警告: この状態では、RSC アクセス許可を必要とするアプリのインストールは許可されません。 |
警告
チャットまたはチームの RSC 構成を に DisabledForAllApps変更すると、テナントでの事前適用が無効になり、ユーザーが RSC 対応アプリをインストールするときにエラーが発生します。
組織内のすべてのブロック解除されたアプリに対して RSC アクセス許可を有効にする
POWERShell コマンドレットを使用して、組織内のすべてのブロック解除されたアプリに対して RSC を有効にするには、RSC のアクセス許可設定の状態を に EnabledForAllApps変更します。 組織のチャットとチームの RSC 設定の両方の状態を次のように設定できます。
Set-MgBetaTeamRscConfiguration -State EnabledForAllApps
Set-MgBetaChatRscConfiguration -State EnabledForAllApps
特定のアプリ のセットに対してのみ RSC を有効にする
事前申請するデータのアクセス許可と秘密度ラベルを使用して、特定のアプリの事前適用ポリシーを作成できます。 次のセクションでは、秘密度ラベルがアタッチされている場合とアタッチされていない場合に、事前適用ポリシーを作成する方法について説明します。
アプリ ID とアクセス許可に基づいて事前適用ポリシーを作成する
事前適用ポリシーを使用すると、組織内のユーザーは、特定のアプリセットの RSC アクセス許可に同意できます。 これは、組織内のすべてのアプリに対する RSC アクセス許可を制限することなく、組織がアクセスできる RSC 対応アプリを決定できることを意味します。
秘密度ラベルなしで事前適用ポリシーを作成するには、次の情報があることを確認します。
- Teams アプリ ID。
- アプリに関連付けられている RSC アクセス許可。
- テナントのチームまたはグローバル管理者特権。
PowerShell コマンドレットを使用して、事前適用ポリシーを作成できます。 コマンドレットを作成するには、 コマンドで前述の情報を New-MgBetaTeamAppPreApproval 取得し、コマンドレットで事前に承認する次のいずれかの RSC アクセス許可を指定する必要があります。
| 構成 | 説明 |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
チャットの RSC アクセス許可の事前適用ポリシーを作成する場合は、この構成を使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
ResourceSpecificApplicationPermissionsAllowedForTeams |
この構成は、チームの RSC アクセス許可の事前適用ポリシーを作成するときに使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
チーム RSC アクセス許可を持つアプリを事前に申請する
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
チャット RSC アクセス許可を持つアプリを事前に申請する
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat')
チームとチャットの両方の RSC アクセス許可を持つアプリを事前に承認する
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat') -ResourceSpecificApplicationPermissionsAllowedForTeams @(‘ChannelMessage.Read.Group’) -TeamLevelSensitivityLabelCondition AnySensitivityLabel
警告
間違ったアクセス許可をコマンドレット内の間違ったアクセス許可の種類にリンクすると、事前適用ポリシーの作成が失敗する可能性があります。 チャット RSC アクセス許可が で .Chat 終わり、チームの RSC アクセス許可が で終わることを .Group確認します。
アプリ ID、アクセス許可、秘密度ラベルに基づいて事前適用ポリシーを作成する
事前適用ポリシーを作成して、テナント内の特定の秘密度ラベルに対する RSC アクセス許可を事前に承認できます。 これにより、RSC 対応アプリがアクセスできるデータを制御できます。 ここでは、データの機密性に基づいて事前適用ポリシーを作成するプロセスについて説明します。
また、特定の秘密度ラベルに加えて、特定のアクセス許可の事前適用ポリシーを作成することもできます。 特定のアクセス許可に対して、すべての RSC 同意要求の承認を許可できます。 事前適用ポリシーを作成するには、次の情報があることを確認します。
- Teams アプリ ID。
- アプリに関連付けられている RSC アクセス許可。
- 秘密度ラベルに関連付けられている秘密度ラベル ID。 ポリシーをすべての秘密度ラベルに適用する場合、またはチャット RSC のアクセス許可のみを事前に承認する場合は、これは必要ありません。
- テナントのチームまたはグローバル管理者特権。
PowerShell コマンドレットを使用して、事前適用ポリシーを作成できます。 コマンドレットを作成するには、 コマンドで前述の情報を New-MgBetaTeamAppPreApproval 取得し、コマンドレットで事前に承認する次のいずれかの RSC アクセス許可を指定する必要があります。
| 構成 | 説明 |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
チャットの RSC アクセス許可の事前適用ポリシーを作成する場合は、この構成を使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
ResourceSpecificApplicationPermissionsAllowedForTeams |
この構成は、チームの RSC アクセス許可の事前適用ポリシーを作成するときに使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
引数を SpecificSensitivityLabel 使用して、RSC 事前適用ポリシーを適用する特定の秘密度ラベルを定義できます。
これらの引数を使用するコマンドレットの例を次に示します。
New-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition SpecificSensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams @('4de11089-adb9-4be8-9b7a-8336be68f3c4')
カスタム定義の事前適用ポリシーを持つアプリのみを許可するように RSC 構成を変更する
事前適用ポリシーを作成したら、新しいポリシーを使用するように組織の RSC 設定を変更します。 この設定は制限が厳しく、一部のアプリがエンド ユーザーに対して機能しなくなる可能性があります。 この変更を行うには、組織の RSC 設定の状態を変更します。 次の例は、必要な PowerShell コマンドレットを示しています。
Set-MgBetaTeamRscConfiguration -State EnabledForPreApprovedAppsOnly
Set-MgBetaChatRscConfiguration -State EnabledForPreApprovedAppsOnly
既存の事前適用ポリシーを管理する
事前適用ポリシーを作成した後、ポリシーを変更して、ポリシーのアクセス許可と秘密度ラベルを変更できます。 アプリが追加のアクセス許可でリリースされた場合は、そのアプリの事前適用ポリシーを更新して新しいアクセス許可を追加し、アプリをテナントにインストールできるようにする必要があります。 既存の事前適用ポリシーを管理し、新しい事前適用ポリシーを作成するには、同じ情報が必要です。
既存のアプリの RSC アクセス許可の事前適用を停止する場合は、既存の事前適用ポリシーを削除することもできます。
既存の事前適用前ポリシーを更新する
コマンドレットを使用して、事前適用ポリシーを Update-MgBetaTeamAppPreApproval 更新できます。 更新するアクセス許可を指定する場合は、RSC アクセス許可の種類を区別する必要があります。
既存の事前適用ポリシーを管理するには、次の RSC 構成を使用できます。
| 構成 | 説明 |
|---|---|
ResourceSpecificApplicationPermissionsAllowedForChats |
チャットの RSC アクセス許可の事前適用ポリシーを作成する場合は、この構成を使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
ResourceSpecificApplicationPermissionsAllowedForTeams |
この構成は、チームの RSC アクセス許可の事前適用ポリシーを作成する場合に使用します。この構成を使用します。 すべてのアクセス許可の一覧については、「 RSC のアクセス許可」を参照してください。 |
チャット RSC の事前適用ポリシーを更新する
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForChats @('OnlineMeeting.ReadBasic.Chat', 'TeamsAppInstallation.Read.Chat')
チーム RSC の事前適用ポリシーを更新する
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group', 'TeamsAppInstallation.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel
事前適用ポリシーを定義済みの秘密度ラベルからすべての秘密度ラベルに変更する場合は、事前適用ポリシーの引数の SpecificSensitivityLabel 値をリセットする必要があります。 これを行うには、次のように引数を AnySensitivityLabel null に設定します。
Update-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e -ResourceSpecificApplicationPermissionsAllowedForTeams @('ChannelMessage.Read.Group') -TeamLevelSensitivityLabelCondition AnySensitivityLabel -SpecificSensitivityLabelIdsApplicableToTeams $null
注:
既存の事前適用で既に Update-MgBetaTeamAppPreApproval 宣言している場合でも、コマンドレットに関連するすべてのアクセス許可を含める必要があります。
既存の事前適用ポリシーを削除する
既存のアプリの RSC アクセス許可の事前適用を停止する場合は、そのアプリの事前適用前ポリシーを削除できます。 事前適用ポリシーを削除するには、アプリ ID があることを確認します。
次の PowerShell コマンドレットを使用して、アプリに関連付けられている事前適用前ポリシーを削除できます。
Remove-MgBetaTeamAppPreapproval
Remove-MgBetaTeamAppPreapproval -TeamsAppId c626ce8b-6d15-4c07-bfb1-a5fd0bc3c20e
関連項目
Platform Docs