Consenso utente e amministratore in Microsoft Entra ID
In questo articolo vengono illustrati i concetti fondamentali e gli scenari relativi al consenso utente e amministratore in Microsoft Entra ID.
Il consenso è un processo in cui gli utenti possono concedere l'autorizzazione per un'applicazione per accedere a una risorsa protetta. Per indicare il livello di accesso necessario, un'applicazione richiede le autorizzazioni API necessarie. Ad esempio, un'applicazione può richiedere l'autorizzazione per visualizzare il profilo di un utente connesso e leggere il contenuto della cassetta postale dell'utente.
Il consenso può essere avviato in vari modi. Ad esempio, gli utenti possono richiedere il consenso quando tentano di accedere a un'applicazione per la prima volta. A seconda delle autorizzazioni richieste, alcune applicazioni potrebbero richiedere che sia un amministratore a concedere il consenso.
Consenso dell'utente
Un utente può autorizzare un'applicazione ad accedere ad alcuni dati nella risorsa protetta, fungendo da tale utente. Le autorizzazioni che consentono questo tipo di accesso sono denominate "autorizzazioni delegate".
Il consenso utente viene avviato quando un utente accede a un'applicazione. Dopo che l'utente fornisce le credenziali di accesso, viene controllato per determinare se il consenso è già stato concesso. Se non esiste alcun record precedente di consenso utente o amministratore per le autorizzazioni necessarie, l'utente viene indirizzato alla finestra di richiesta di consenso per concedere all'applicazione le autorizzazioni richieste.
Il consenso dell'utente da parte di utenti non amministratori è possibile solo nelle organizzazioni in cui il consenso utente è consentito per l'applicazione e per il set di autorizzazioni richieste dall'applicazione. Se il consenso dell'utente è disabilitato o se gli utenti non sono autorizzati a fornire il consenso per le autorizzazioni richieste, non viene richiesto il consenso. Se gli utenti sono autorizzati a fornire il consenso e accettano le autorizzazioni richieste, il consenso viene registrato. Gli utenti in genere non devono fornire di nuovo il consenso per gli accessi futuri alla stessa applicazione.
Impostazioni per il consenso utente
Gli utenti hanno il controllo dei dati. Un amministratore con privilegi può configurare se gli utenti non amministratori possono concedere il consenso dell'utente a un'applicazione. Questa impostazione può tenere conto degli aspetti dell'applicazione e dell'editore dell'applicazione e delle autorizzazioni richieste.
In qualità di amministratore, è possibile scegliere se è consentito il consenso dell'utente. Se si sceglie di consentire il consenso dell'utente, è anche possibile scegliere quali condizioni devono essere soddisfatte prima che un utente possa fornire il consenso a un'applicazione.
Scegliendo quali criteri di consenso dell'applicazione si applicano a tutti gli utenti, è possibile impostare limiti su quando gli utenti possono concedere il consenso alle applicazioni. I criteri di consenso informano anche quando gli utenti devono richiedere la revisione e l'approvazione dell'amministratore. L'interfaccia di amministrazione di Microsoft Entra offre le opzioni predefinite seguenti:
È possibile disabilitare il consenso dell'utente. Gli utenti non possono concedere autorizzazioni alle applicazioni. Gli utenti continuano ad accedere alle applicazioni a cui hanno già acconsentito o alle applicazioni a cui gli amministratori concedono il consenso per loro conto. Tuttavia, non è consentito fornire il consenso alle nuove autorizzazioni per le applicazioni autonomamente. Solo gli utenti a cui viene concesso un ruolo della directory che include l'autorizzazione per concedere il consenso possono fornire il consenso alle nuove applicazioni.
Gli utenti possono fornire il consenso alle applicazioni provenienti da editori verificati o dall'organizzazione, ma solo per le autorizzazioni selezionate. Tutti gli utenti possono fornire il consenso solo alle applicazioni pubblicate da un editore verificato e dalle applicazioni registrate nel tenant. Gli utenti possono fornire il consenso solo alle autorizzazioni classificate come a basso impatto. È necessario classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso.
Gli utenti possono fornire il consenso a tutte le applicazioni. Questa opzione consente a tutti gli utenti di fornire il consenso a tutte le autorizzazioni che non richiedono il consenso dell'amministratore per qualsiasi applicazione.
Per la maggior parte delle organizzazioni, una delle opzioni predefinite è appropriata. Alcuni clienti avanzati potrebbero voler avere un maggiore controllo sulle condizioni che regolano quando gli utenti sono autorizzati a fornire il consenso. Questi clienti possono creare criteri di consenso delle app personalizzati e configurare tali criteri da applicare al consenso dell'utente.
Consenso amministratore
Durante il consenso dell'amministratore, un amministratore con privilegi potrebbe concedere a un'applicazione l'accesso per conto di altri utenti (in genere, per conto dell'intera organizzazione). Durante il consenso dell'amministratore, le applicazioni o i servizi forniscono l'accesso diretto a un'API, che viene usata dall'applicazione se non è presente alcun utente connesso. Il ruolo specifico necessario per concedere il consenso amministratore è diverso in base alle autorizzazioni richieste, descritte nell'articolo concedere il consenso amministratore.
Quando l'organizzazione acquista una licenza o una sottoscrizione per una nuova applicazione, è possibile configurare l'applicazione in modo proattivo in modo che tutti gli utenti dell'organizzazione possano usarla. Per evitare la necessità di consenso dell'utente, un amministratore può concedere il consenso per l'applicazione per conto di tutti gli utenti dell'organizzazione.
Dopo che un amministratore concede il consenso amministratore per conto dell'organizzazione, agli utenti non viene richiesto il consenso per tale applicazione. In alcuni casi, un utente potrebbe richiedere il consenso anche dopo che un amministratore concede il consenso. Un esempio potrebbe essere se un'applicazione richiede un'altra autorizzazione che l'amministratore non ha concesso.
La concessione del consenso dell'amministratore per conto di un'organizzazione è un'operazione sensibile, consentendo potenzialmente all'editore dell'applicazione l'accesso a parti significative dei dati dell'organizzazione o l'autorizzazione per eseguire operazioni con privilegi elevati. Esempi di tali operazioni possono essere la gestione dei ruoli, l'accesso completo a tutte le cassette postali o a tutti i siti e la rappresentazione completa dell'utente.
Prima di concedere il consenso amministratore a livello di tenant, assicurarsi di considerare attendibile l'applicazione e l'autore dell'applicazione per il livello di accesso concesso. Se non si è certi di sapere chi controlla l'applicazione e perché l'applicazione richiede le autorizzazioni, non concedere il consenso.
Per istruzioni dettagliate su se concedere il consenso di un amministratore dell'applicazione, vedere Valutazione di una richiesta di consenso amministratore a livello di tenant.
Vedere Concedere a un'applicazione il consenso amministratore a livello di tenant per istruzioni dettagliate per la concessione del consenso amministratore a livello di tenant dall'interfaccia di amministrazione di Microsoft Entra.
Concedere il consenso per conto di un utente specifico
Invece di concedere il consenso per un'intera organizzazione, un amministratore può anche usare l'API Microsoft Graph per concedere il consenso alle autorizzazioni delegate per conto di un singolo utente. Per un esempio dettagliato che usa Microsoft Graph PowerShell, vedere Concedere il consenso per conto di un singolo utente usando PowerShell.
Limitare l'accesso utente a un'applicazione
L'accesso utente alle applicazioni può comunque essere limitato, anche quando il consenso amministratore a livello di tenant è già concesso. Configurare le proprietà dell'applicazione per richiedere l'assegnazione dell'utente per limitare l'accesso utente all'applicazione. Per altre informazioni, vedere Metodi per l'assegnazione di utenti e gruppi.
Per una panoramica più ampia, tra cui come gestire altri scenari complessi, vedere Use Microsoft Entra ID for application access management .For a broad overview, including how to handle other complex scenarios, see Use Microsoft Entra ID for application access management.For a broad overview, including how to handle other complex scenarios, see Use Microsoft Entra ID for application access management.
Flusso di lavoro del consenso amministratore
Il flusso di lavoro di consenso amministratore offre agli utenti un modo per richiedere il consenso amministratore per le applicazioni quando non sono autorizzati a fornire il consenso. Quando il flusso di lavoro del consenso amministratore è abilitato, agli utenti viene visualizzata una finestra "Approvazione necessaria" per richiedere l'approvazione dell'amministratore per l'accesso all'applicazione.
Dopo che gli utenti inviano la richiesta di consenso amministratore, gli amministratori designati come revisori ricevono una notifica. Gli utenti vengono informati dopo che un revisore agisce sulla richiesta. Per istruzioni dettagliate per configurare il flusso di lavoro di consenso amministratore tramite l'interfaccia di amministrazione di Microsoft Entra, vedere Configurare il flusso di lavoro di consenso amministratore.
Come gli utenti richiedono il consenso amministratore
Dopo aver abilitato il flusso di lavoro del consenso amministratore, gli utenti possono richiedere l'approvazione dell'amministratore per un'applicazione a cui non sono autorizzati a fornire il consenso. Ecco i passaggi del processo:
- Un utente tenta di accedere all'applicazione.
- Viene visualizzato un messaggio Approvazione richiesta . L'utente digita una giustificazione per la necessità di accedere all'applicazione e quindi seleziona "Richiedi approvazione".
- Un messaggio Di richiesta inviata conferma che la richiesta è stata inviata all'amministratore. Se l'utente invia diverse richieste, viene inviata solo la prima richiesta all'amministratore.
- L'utente riceve una notifica tramite posta elettronica quando la richiesta viene approvata, negata o bloccata.