Solicitar permissões que exigem consentimento administrativo

Neste artigo, descrevemos a experiência de permissão e consentimento para um cenário no qual você, como desenvolvedor, está escrevendo seu código de aplicativo para solicitar permissões de aplicativo que exigem consentimento administrativo. Capturas de tela de exemplo de caixas de diálogo de permissão e consentimento e o centro de administração do Microsoft Entra dão uma ideia da experiência de seus usuários e administradores de locatários. Melhore a colaboração com administradores para implementar o princípio de Confiança Zero de privilégio mínimo nos seus aplicativos.

Ao desenvolver seu aplicativo, você escreve um código que solicita acesso a um recurso solicitando um token de acesso com um escopo específico (ou permissão). Use o parâmetro de escopo, conforme descrito no padrão OAuth 2.0 que algumas pessoas descrevem como uma permissão. Os proprietários de recursos concedem ou negam solicitações de permissão. Na ID do Microsoft Entra, o proprietário do recurso é o usuário do aplicativo ou um administrador que tem os direitos de conceder consentimento a esse recurso em nome de todos os usuários.

Experiência de consentimento do usuário

Quando o aplicativo solicita permissão para acessar um recurso, o usuário pode ver uma caixa de diálogo Permissões solicitadas semelhante a este exemplo.

Na caixa de diálogo de exemplo acima, o usuário dá consentimento para permitir que o aplicativo leia os dados no seu nome selecionando Aceitar ou negar a solicitação selecionando Cancelar. O aplicativo recebe um token de acesso e pode continuar seus processos após o usuário conceder consentimento. Lembre-se de garantir que seu aplicativo esteja pronto para lidar normalmente quando não receber um token.

Experiência de consentimento do administrador

Para algumas solicitações de acesso, somente um administrador pode conceder consentimento. Se o acesso solicitado for poderoso ou envolver recursos cujos proprietários não sejam os usuários atuais, codifique para que apenas um administrador possa conceder solicitações.

No entanto, você nunca sabe quais permissões exigem consentimento do administrador e que permitem que um usuário comum conceda consentimento porque os administradores de locatários podem configurar seu locatário com Não permitir consentimento do usuário (todas as permissões exigem consentimento do administrador), conforme mostrado na captura de tela de exemplo a seguir de Configurações de consentimento do usuário no centro de administração do Microsoft Entra.

Os administradores também podem Permitir consentimento do usuário para aplicativos de de fornecedores verificados, para permissões selecionadas, conforme mostrado na captura de tela de exemplo a seguir das Configurações de consentimento do usuário no Centro de administração do Microsoft Entra.

Os administradores podem então Adicionar permissões às quais os usuários podem consentir, conforme mostrado na captura de tela de exemplo a seguir de Classificações de permissão no Centro de administração do Microsoft Entra.

Quando seu aplicativo solicita uma permissão que requer consentimento do administrador (por design ou configuração de administrador), o usuário pode ver uma caixa de diálogo Precisa de aprovação do administrador semelhante a este exemplo.

A caixa de diálogo de exemplo acima mostra a experiência padrão (pronta para uso) para permissões que exigem consentimento do administrador. A maioria dos usuários não sabe o que fazer nesse cenário. Eles não sabem quem é o administrador deles, não sabem a quem recorrer para aprovação. Essa incerteza pode limitar a capacidade do usuário de alcançar os resultados desejados.

Melhorando as permissões e a experiência de consentimento

Para melhorar as permissões e a experiência de consentimento, o administrador do locatário pode configurar o fluxo de trabalho de consentimento do administrador, conforme mostrado na captura de tela de exemplo a seguir das Configurações do usuário no Centro de administração do Microsoft Entra.

Em Solicitações de consentimento do administrador, o administrador do locatário pode melhorar a experiência de permissão e consentimento do usuário selecionando Sim em Os usuários podem solicitar consentimento do administrador para aplicativos que não podem consentir e configurar outras configurações de Solicitações de consentimento do administrador.

Depois que o administrador do locatário seleciona Sim em Os usuários podem solicitar consentimento do administrador para aplicativos que não podem consentir e um aplicativo solicita uma permissão que requer consentimento do administrador, o usuário vê algo semelhante à caixa de diálogo Aprovação necessária a seguir que fornece uma melhor experiência do usuário.

Na caixa de diálogo de exemplo acima, o usuário pode Inserir a justificativa para solicitar este aplicativo antes de selecionar Solicitar aprovação. A solicitação de aprovação entra em uma fila de solicitações de consentimento do administrador, na qual os administradores têm opções para revisar, aceitar ou banir aplicativos em sua organização com base no perfil de risco.

Quando um administrador executa um aplicativo que requer o consentimento do administrador sem configurar o consentimento no Centro de administração do Microsoft Entra, o usuário administrador vê uma caixa de diálogo Permissões solicitadas semelhante ao exemplo a seguir.

No exemplo acima, o administrador vê uma descrição das permissões que o aplicativo está solicitando. O administrador pode selecionar Aceitar para executar o aplicativo individualmente ou selecionar Consentimento em nome da organização antes de selecionar Aceitar. Depois que o administrador concede consentimento para a organização, nenhum usuário futuro da organização precisa conceder permissão para esse aplicativo, a menos que um administrador remova o consentimento da configuração Solicitações de consentimento do administrador do locatário.

Outro método de consentimento do administrador de locatários está nas Permissões do Centro de administração do Microsoft Entra em que os administradores podem examinar os detalhes das permissões de aplicativo solicitadas anteriormente.

No exemplo acima de Consentimento do usuário, o administrador pode revisar as permissões concedidas para o aplicativo com informações sobre reivindicações, o tipo de permissão e quem deu consentimento. O administrador pode selecionar Consentimento do administrador para revisar as permissões concedidas que requerem consentimento do administrador.

Solicitando o consentimento do administrador com antecedência

Sua melhor estratégia de permissões de aplicativo é declarar antecipadamente todas as permissões que seu aplicativo pode precisar ou solicitar quando você registra seu aplicativo. Você não precisa solicitar todas as permissões ao mesmo tempo, mas, depois de declarar todas as permissões que seu aplicativo pode precisar, os administradores podem selecionar Conceder consentimento do administrador para na configuração do seu aplicativo no locatário para exibir uma caixa de diálogo semelhante a este exemplo.

O exemplo acima mostra como o administrador pode conceder consentimento prévio às permissões que você declarou e fornecer a melhor experiência para seus usuários e administradores de locatários.

Solicitar o consentimento do administrador com antecedência é uma excelente opção para aplicativos de linha de negócios (LOB), especialmente os aplicativos que sua organização está desenvolvendo. É mais fácil não ter que perguntar ao usuário se sua empresa pode acessar os dados da sua empresa ao conceder consentimento prévio a esses aplicativos. Você faz a solicitação de consentimento do administrador como parte do processo de registro do aplicativo.

Próximas etapas

• O artigo Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir Confiança Zero ao adquirir permissões de acesso a recursos para o seu aplicativo.
• O artigo Proteção de APIs descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir as metas de Confiança Zero.
• O artigo Práticas recomendadas de autorização ajuda você a implementar os melhores modelos de autorização, permissão e consentimento para aplicativos.
• Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Esse artigo explica como personalizar tokens para melhorar a flexibilidade e o controle, aumentando a segurança de confiança zero do aplicativo com privilégios mínimos.
• O artigo Visão geral de permissões e consentimento na plataforma de identidade da Microsoft ajuda a compreender os conceitos fundamentais de acesso e autorização.
• O artigo Visão geral do consentimento e das permissões ajuda a aprender conceitos e cenários básicos sobre consentimento e permissões no Microsoft Entra ID.
• O módulo de aprendizagem: Estrutura de permissões e consentimento ajuda a aprender modelos de estrutura de permissões e consentimento.
• Aprenda ao vivo: Identidade da Microsoft: estrutura de permissões e consentimento ajuda a aprender os conceitos básicos da identidade da Microsoft, incluindo tokens, tipos de conta e topologias.