Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft 365 Copilot-Connectors ermöglichen Es Organisationen, maßgeschneiderte Integrationen zu erstellen, um ihre KI-Systeme und -Dienste zu verbessern. Im Allgemeinen sind KI-Administratoren für die Einrichtung und Verwaltung von Copilot-Connectors verantwortlich. Für bestimmte Aufgaben wie die Anwendungsregistrierung und die Zustimmung zu bestimmten Microsoft Graph-API Berechtigungen ist jedoch häufig ein globaler Administrator erforderlich. Durch das Delegieren von Administratorrechten an KI-Administratoren können Abhängigkeiten reduziert und KI-Administratoren die unabhängige Einrichtung von Copilot-Connectors ermöglichen. In diesem Artikel wird beschrieben, wie Sie Administratorrechte delegieren und gleichzeitig die organisatorische Kontrolle behalten.
Hinweis
Das Delegieren von Administratorrechten an KI-Administratoren ist ein optionaler Schritt für die Copilot-Connectorverwaltung.
Welche Administratorrechte können delegiert werden?
Damit KI-Administratoren die Einrichtung und den Betrieb von benutzerdefinierten Connectors unabhängig verwalten können, delegieren Sie die folgenden Administratorrechte:
Anwendungsregistrierungsberechtigung: Durch das Erteilen dieser Berechtigung können KI-Administratoren Anwendungen aus dem Microsoft Entra Admin Center registrieren, um benutzerdefinierte Connectors einzurichten. Anwendungsregistrierungsberechtigungen sind standardmäßig für alle Benutzer in einem organization aktiviert. Erteilen Sie diese Berechtigung nur, wenn die Berechtigung für den organization deaktiviert ist.
Zustimmungsberechtigungen: Durch das Gewähren dieser Berechtigung können KI-Administratoren die Zustimmung für connectorbezogene Microsoft Graph-API-Berechtigungen wie ExternalItem.ReadWrite.OwnedBy und ExternalConnection.ReadWrite.OwnedBy erteilen, die speziell für das Erstellen von Verbindungen und erfassungsbezogene Elemente gelten.
Gewähren von Anwendungsregistrierungsberechtigungen
Wenn Anwendungsregistrierungsberechtigungen für alle Benutzer innerhalb des organization aktiviert sind, ist keine zusätzliche Konfiguration erforderlich. Wenn diese Berechtigungen jedoch eingeschränkt sind, können globale Administratoren sie KI-Administratoren mithilfe einer benutzerdefinierten Rolle gewähren. Weitere Informationen finden Sie unter Delegieren von App-Registrierungsberechtigungen in Microsoft Entra ID.
Erteilen von Zustimmungsberechtigungen
Um KI-Administratoren Zustimmungsberechtigungen zu gewähren, erstellen Sie eine benutzerdefinierte Richtlinie und Rolle, die auf die erforderlichen Berechtigungen zugeschnitten ist:
- Definieren Sie eine Richtlinie, die speziell Berechtigungen für ExternalItem.* und ExternalConnection.* erteilt.
- Erstellen Sie eine benutzerdefinierte Rolle, und weisen Sie dieser Rolle die neu erstellte Zustimmungsrichtlinie zu.
- Weisen Sie Benutzern mit der ROLLE KI-Administrator die benutzerdefinierte Rolle zu, damit sie die Zustimmung für die angegebenen Berechtigungen verwalten können.
Verwenden von PowerShell zum Erteilen von Administratorrechten
Sie können ein PowerShell-Skript verwenden, um KI-Administratoren Administratorrechte zu gewähren. Das PowerShell-Skript führt die folgenden Aktionen aus:
- Gewährt Benutzern, denen derzeit die Rolle "KI-Administrator " zugewiesen ist, Anwendungsregistrierungsberechtigungen.
- Erteilt Zustimmungsberechtigungen durch:
- Erstellen einer benutzerdefinierten Zustimmungsrichtlinie mit dem Namen Erteilen von Zustimmungsberechtigungen für KI-Administratoren , die benutzern die Zustimmung zu ExternalItem.* und ExternalConnection.* ermöglicht.
- Einrichten einer benutzerdefinierten Rolle namens Custom Connector Management for Copilot und Zuweisen der Zustimmungsrichtlinie zu dieser Rolle.
- Zuweisen der benutzerdefinierten Rolle zu vorhandenen KI-Administratoren.
So verwenden Sie das PowerShell-Skript:
Verwenden Sie den
Install-ModuleBefehl in PowerShell, um das Skript zu installieren.Install-Module Connector.CmdWichtig
Für diese Schritte ist Die Connector.Cmd-Version 1.4 oder höher erforderlich.
Verwenden Sie den folgenden Befehl, um das Skript aufzurufen.
GrantAppConsentAndManagementPermissionToAiAdminMelden Sie sich als globaler Administrator an, und genehmigen Sie die angeforderten Berechtigungen.
Nachdem das Skript ausgeführt wurde, verfügen vorhandene Benutzer mit der Rolle KI-Administrator über Administratorrechte zum Einrichten und Verwalten von Copilot-Connectors.
Ergebnisse bestätigen
So stellen Sie sicher, dass Administratorrechte erfolgreich erteilt wurden:
- Melden Sie sich beim Microsoft Entra Admin Center als KI-Administrator an.
- Wechseln Sie zum Abschnitt App-Registrierungen, und erstellen Sie eine neue Anwendung.
- Fügen Sie der Anwendung die Berechtigungen ExternalItem.ReadWrite.OwnedBy und ExternalConnection.ReadWrite.OwnedBy hinzu.
- Stimmen Sie diesen Berechtigungen direkt im Portal zu.
Bei erfolgreicher Ausführung ist die Konfiguration abgeschlossen.
Häufig gestellte Fragen
Erteilt das PowerShell-Skript die Zustimmung zu allen Microsoft Graph-API-Berechtigungen?
Nein, das Skript beschränkt die Zustimmungsberechtigungen auf ExternalItem.* und ExternalConnection.*. Dadurch wird sichergestellt, dass die minimal erforderlichen Berechtigungen erteilt werden, ohne einen breiteren Zugriff zu riskieren.
Was geschieht, wenn die Connectoranwendung Berechtigungen benötigt, die über ExternalItem.* und ExternalConnection.*hinausgehen?
In diesem Fall müssen globale Administratoren die Zustimmung für andere Berechtigungen manuell erteilen. So erweitern Sie KI-Administratorrechte:
- Erstellen oder aktualisieren Sie manuell eine benutzerdefinierte Zustimmungsrichtlinie, wie unter Erteilen von Zustimmungsberechtigungen beschrieben.
- Fügen Sie die anderen Berechtigungen hinzu, die für die Anwendung erforderlich sind.
- Weisen Sie die aktualisierte Richtlinie der zuvor erstellten benutzerdefinierten Rolle zu.
Wie kann ich Berechtigungen widerrufen, die KI-Administratoren gewährt wurden?
Um Berechtigungen zu entfernen, wechseln Sie im Microsoft Entra Admin Center oder Microsoft 365 Admin Center zur Seite Rollen & Admins. Suchen Sie die benutzerdefinierte Rolle, die während des Setups erstellt wurde, und löschen Sie sie.
Gelten Berechtigungen automatisch für neu zugewiesene KI-Administratoren?
Nein, berechtigungen, die über das PowerShell-Skript gewährt werden, gelten nur für aktuelle KI-Administratoren. Führen Sie für neue KI-Administratoren das Skript erneut aus, oder weisen Sie die benutzerdefinierte Rolle manuell neu zugewiesenen Administratoren aus dem Microsoft Entra Admin Center zu.
Ist es obligatorisch, KI-Administratoren diese Berechtigungen zu gewähren?
Nein, das Erteilen dieser Berechtigungen ist optional. Organisationen können auswählen, ob Berechtigungen basierend auf ihren internen Prozessen delegiert werden sollen. Wenn eine zentralisierte Steuerung bevorzugt wird, können globale Administratoren die Verantwortung für diese Aufgaben behalten.