2020年5月18日,星期一

团队和SharePoint配置解决方案-新的Group.Create权限

使用Office 365的组织提供自定义体验很常见 用于请求和创建Microsoft Teams和/或SharePoint网站-通常 提供从预定义模板中进行选择,提供元数据和 重要设置,检查是否可能重复,实施批准 过程等等。对于许多人来说,这是治理的关键部分,它提供了更多 而不是“允许所有人创建并执行一些清理” 后来”。我们多年来一直在构建这样的解决方案,例如, 我们的工作区请求和配置功能 新鲜的数字工作场所解决方案 随着团队的发展壮大,丰富性和控制力也不断增强 API变得更好。

您想要我们租户的许可吗?
直到最近,这些解决方案还存在很大的问题。由于两者 Microsoft团队和SharePoint团队网站由Office 365支持 组(当然不是SharePoint通信网站),创建 两者都涉及在下面创建Office 365组。是否一个 登录的用户或应用程序或工具正在执行此步骤,具有很高的权限 需要- Group.ReadWrite.All。这实质上是允许该应用读取和写入任何内容 您整个团队中的Microsoft Team,SharePoint网站或Office 365组 租户-考虑一下!

如您所料,许多安全意识强的组织都不愿授予此权限 允许他们的租户中运行某些东西。实际上,地球上每一个完全使用Office 365的企业都拥有包含敏感信息的Teams和SharePoint网站,而单个应用程序能够更改或删除整个资产的数据的整个构想就是 非常 远离最小特权原则。如果攻击者或某些恶意代码伪装成这种身份,则对企业的影响可能是巨大的。 

在一个全球组织中,我花了大约8周的时间说服 数字安全(Info Sec)组和其他利益相关者 我们的团队和其他内部团队采取的缓解措施足以抵消这种风险。要求不少于7个明显的签字。

因此,必须进行一些更改。我知道其他人会感觉到这种痛苦,我一直在像Microsoft这样的人讲话 杰里米·塔克(Jeremy Thake) 关于它一段时间。我终于开始筹集资金了 对UserVoice的请求,但在Twitter上也提到了。我很高兴看到微软团队平台架构师Bill Bliss的回应:


因此,这给了我希望。 很快过去了几个月,现在的好消息当然是一个解决方案在一段时间前就推出了,这使使用Office 365的任何人的生活变得更加轻松。

Microsoft Graph中的新Group.Create权限

创建Microsoft Teams或与组连接的SharePoint网站的解决方案现在可以在名为Group.Create的Graph授权模型中使用新的权限范围。到达时没有太多噪音或喧嚣声,我怀疑与此相关的许多人可能仍然不知道。 

如您所料,这使用户或应用程序可以创建新的团队,组和站点,而无需访问所有现有实例。作为 文件资料 说:

允许呼叫应用创建没有登录用户的组。不允许读取,更新或删除任何组。

 对于使用Office 365的任何组织而言,这非常重要,他们关心其安全状况并希望使用置备解决方案。这是AAD中的样子:


哎呀!因此,现在我们可以满足两个要求:
  • 允许创建新的团队和站点
  • 最小化表面积,以便不能采取其他措施

号召性用语-这与您的环境有关吗?

如果您使用任何量身定制的方法来创建Teams和SharePoint网站,无论是内部开发还是由合作伙伴开发的解决方案,第三方产品还是Github上的入门解决方案之一,都应确保使用的权限集为组创建。如果您发现有需要进行的更改,那么在进行实际转换之前,应该对非生产性租户进行仔细的测试,以进行管理-但是过程应该不会太复杂。  

之前我曾在Twitter上提到过这个新选项,并且相当多的人以某种方式做出了回应:


但是,我也想在此发布相关信息。 Office 365和基础平台元素(例如Microsoft Graph)的变化步伐是无情的,很容易错过。尽管总是存在缺陷,但很高兴知道这样的事情正在被解决。

希望这对某些人有用!