Configurar a forma como os utilizadores concedem consentimento às aplicações

Neste artigo, você aprenderá como configurar a maneira como os usuários consentem com aplicativos e como desabilitar todas as futuras operações de consentimento de usuário para aplicativos.

Para uma aplicação poder aceder aos dados da organização, o utilizador terá de conceder as permissões de aplicação necessárias para o fazer. Diferentes permissões permitem diferentes níveis de acesso. Por predefinição, todos os utilizadores estão autorizados a consentir às aplicações permissões que não requerem consentimento do administrador. Por exemplo, por padrão, um usuário pode consentir em permitir que um aplicativo acesse sua caixa de correio, mas não pode consentir em permitir que um aplicativo tenha acesso irrestrito para ler e gravar em todos os arquivos em sua organização.

Para reduzir o risco de aplicações maliciosas tentarem induzir os utilizadores a conceder-lhes acesso aos dados da sua organização, recomendamos que permita o consentimento do utilizador apenas para aplicações que tenham sido publicadas por um editor verificado.

Nota

Os aplicativos que exigem que os usuários sejam atribuídos ao aplicativo devem ter suas permissões consentidas por um administrador, mesmo que as políticas de consentimento do usuário para seu diretório permitam que um usuário consinta em seu nome.

Pré-requisitos

Para configurar o consentimento do usuário, você precisa:

• Uma conta de utilizador. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma função de Administrador de Função Privilegiada.

Definir configurações de consentimento do usuário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para definir as definições de consentimento do utilizador através do centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra como um Administrador de Função Privilegiada.

2. Navegue até Aplicativos de identidade>>Aplicativos>corporativos Consentimento e permissões>Configurações de consentimento do usuário.

3. Em Consentimento de utilizador para aplicações, selecione a definição de consentimento que pretende configurar para todos os utilizadores.

4. Selecione Guardar para guardar as definições.

Para escolher qual política de consentimento de aplicativo rege o consentimento do usuário para aplicativos, você pode usar o módulo Microsoft Graph PowerShell . Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns .

Conectar-se ao Microsoft Graph PowerShell

Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégios mínimos necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization. Você precisa entrar como um Administrador de Função Privilegiada.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Desativar o consentimento do utilizador

Para desativar o consentimento do usuário, certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Permitir o consentimento do usuário sujeito a uma política de consentimento de aplicativo usando o PowerShell

Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Substitua {consent-policy-id} pelo ID da política que você deseja aplicar. Pode escolher uma política de consentimento de aplicação personalizada que criou ou pode escolher entre as seguintes políticas incorporadas:

ID	Description
Microsoft-usuário-padrão-baixo	Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do utilizador apenas para aplicações de editores verificados e aplicações registadas no seu inquilino e apenas para permissões que classifique como de baixo impacto. (Lembre-se de classificar as permissões para selecionar quais permissões os usuários têm permissão para consentir.)
Microsoft-User-Default-Legacy	Permitir o consentimento do utilizador para aplicações Essa opção permite que todos os usuários consintam com qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo

Por exemplo, para habilitar o consentimento do usuário sujeito à política microsoft-user-default-lowinterna, execute os seguintes comandos:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Use o Graph Explorer para escolher qual política de consentimento de aplicativo rege o consentimento do usuário para aplicativos. Você precisa entrar como um Administrador de Função Privilegiada.

Para desativar o consentimento do usuário, certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Permitir o consentimento do usuário sujeito a uma política de consentimento de aplicativo usando o Microsoft Graph

Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Substitua {consent-policy-id} pelo ID da política que você deseja aplicar. Pode escolher uma política de consentimento de aplicação personalizada que criou ou pode escolher entre as seguintes políticas incorporadas:

ID	Description
Microsoft-usuário-padrão-baixo	Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do utilizador apenas para aplicações de editores verificados e aplicações registadas no seu inquilino e apenas para permissões que classifique como de baixo impacto. (Lembre-se de classificar as permissões para selecionar quais permissões os usuários têm permissão para consentir.)
Microsoft-User-Default-Legacy	Permitir o consentimento do utilizador para aplicações Essa opção permite que todos os usuários consintam com qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo

Por exemplo, para habilitar o consentimento do usuário sujeito à política microsoft-user-default-lowinterna, use o seguinte comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Gorjeta

Para permitir que os usuários solicitem a revisão e aprovação de um aplicativo com o qual o usuário não tem permissão para consentir, habilite o fluxo de trabalho de consentimento do administrador. Por exemplo, você pode fazer isso quando o consentimento do usuário tiver sido desabilitado ou quando um aplicativo estiver solicitando permissões que o usuário não tem permissão para conceder.

Próximos passos

• Gerenciar políticas de consentimento de aplicativos
• Configurar o fluxo de trabalho de consentimento de administrador