通过

向 AI 管理员授予管理连接器的管理权限

Microsoft 365 Copilot 连接器使组织能够构建定制的集成来增强其 AI 系统和服务。 通常,AI 管理员负责设置和管理 Copilot 连接器。 但是,某些任务(例如应用程序注册和同意特定Microsoft图形 API权限)通常需要全局管理员。 将管理权限委托给 AI 管理员可以减少依赖项,并允许 AI 管理员独立设置 Copilot 连接器。 本文介绍如何在维护组织控制的同时委托管理权限。

注意

将管理权限委托给 AI 管理员是 Copilot 连接器管理的可选步骤。

可以委托哪些管理权限?

若要使 AI 管理员能够独立管理自定义连接器的设置和作,请委派以下管理权限:

  • 应用程序注册权限 - 授予此权限后,AI 管理员可以从Microsoft Entra管理中心注册应用程序,以设置自定义连接器。 默认情况下,为组织中的所有用户启用应用程序注册权限。 仅当对组织禁用权限时才授予此权限。

  • 同意权限 - 授予此权限后,AI 管理员可以授予与连接器相关的Microsoft图形 API权限(例如 ExternalItem.ReadWrite.OwnedBy 和 ExternalConnection.ReadWrite.OwnedBy)的同意,这些权限特定于创建连接和引入项。

授予应用程序注册权限

如果为组织中的所有用户启用了应用程序注册权限,则无需进行额外的配置。 但是,如果这些权限受到限制,全局管理员可以使用自定义角色将其授予 AI 管理员。 有关详细信息,请参阅委托Microsoft Entra ID 中的应用注册权限

若要向 AI 管理员授予许可权限,请创建一个针对所需权限定制的自定义策略和角色:

  1. 定义专门授予 ExternalItem.* 和 ExternalConnection.*权限的策略。
  2. 创建自定义角色,并将新创建的同意策略分配给此角色。
  3. 将自定义角色分配给具有 AI 管理员角色的用户,使他们能够管理对指定权限的同意。

使用 PowerShell 授予管理权限

可以使用 PowerShell 脚本 向 AI 管理员授予管理权限。 PowerShell 脚本执行以下作:

  • 向当前分配有 AI 管理员 角色的用户授予应用程序注册权限。
  • 通过以下方式授予同意权限:
    • 创建名为 “向 AI 管理员授予同意权限 ”的自定义同意策略,以允许用户同意 ExternalItem.* 和 ExternalConnection.*。
    • Copilot 建立名为 Custom Connector Management 的自定义 角色,并将同意策略分配给此角色。
    • 将自定义角色分配给现有 AI 管理员。

若要使用 PowerShell 脚本,请执行以下作:

  1. Install-Module使用 PowerShell 中的 命令安装脚本。

    Install-Module Connector.Cmd

    重要

    这些步骤需要 Connector.Cmd 版本 1.4 或更高版本。

  2. 使用以下命令调用脚本。

    GrantAppConsentAndManagementPermissionToAiAdmin

  3. 以全局管理员身份登录并批准请求的权限。

脚本运行后,具有 AI 管理员 角色的现有用户具有设置和管理 Copilot 连接器的管理权限。

确认结果

若要确保成功授予管理权限,请执行:

  1. 以 AI 管理员身份登录到 Microsoft Entra 管理中心。
  2. 转到“应用注册”部分并创建新应用程序。
  3. 向应用程序添加 ExternalItem.ReadWrite.OwnedBy 和 ExternalConnection.ReadWrite.OwnedBy 权限。
  4. 直接在门户中同意这些权限。

如果成功,则配置完成。

常见问题解答

否,脚本将同意权限限制为 ExternalItem.* 和 ExternalConnection.*。 这可确保授予所需的最小权限,而不会造成更广泛的访问风险。

如果连接器应用程序需要超出 ExternalItem.* 和 ExternalConnection.*的权限,该怎么办?

在这种情况下,全局管理员必须手动授予对其他权限的许可。 若要扩展 AI 管理员权限,请执行以下作:

  1. 按照 授予同意权限中所述,手动创建或更新自定义同意策略。
  2. 添加应用程序所需的其他权限。
  3. 将更新的策略分配给之前创建的自定义角色。

如何撤销授予 AI 管理员的权限?

若要删除权限,请转到Microsoft Entra管理中心或Microsoft 365 管理中心中“角色 & 管理员”页。 找到在安装过程中创建的自定义角色并将其删除。

Microsoft Entra管理中心中“角色 & 管理员”页的屏幕截图

特权是否自动应用于新分配的 AI 管理员?

否,通过 PowerShell 脚本授予的权限仅适用于当前 AI 管理员。 对于新的 AI 管理员,请重新运行脚本,或从 Microsoft Entra 管理中心手动将自定义角色分配给新分配的管理员。

Microsoft Entra管理中心中“分配”页的屏幕截图

是否必须向 AI 管理员授予这些权限?

否,授予这些特权是可选的。 组织可以根据内部流程选择是否委托权限。 如果首选集中控制,全局管理员可以保留这些任务的责任。

相关内容

  • Last updated on