Prompt de consentimento inesperado ao entrar em um aplicativo

Muitos aplicativos que se integram com o Microsoft Entra ID exigem permissões para vários recursos para serem executados. Quando esses recursos também são integrados ao Microsoft Entra ID, a permissão para acessá-los é solicitada usando a estrutura de consentimento do Microsoft Entra. Essas solicitações resultam em um prompt de consentimento sendo mostrado na primeira vez que um aplicativo é usado, o que geralmente é uma operação única.

Em determinados cenários, solicitações de consentimento adicionais podem aparecer quando um usuário tenta entrar. Neste artigo, diagnosticamos o motivo da exibição de solicitações de consentimento inesperadas e como solucionar problemas.

Cenários em que os usuários veem solicitações de consentimento

Outras solicitações podem ser esperadas em vários cenários:

• O aplicativo foi configurado para exigir atribuição. Atualmente, o consentimento individual do usuário não é suportado para aplicativos que exigem atribuição; assim, as permissões devem ser concedidas por um administrador para todo o diretório. Se configurarem uma aplicação para exigir atribuição, certifiquem-se de também conceder o consentimento de administrador a nível de inquilino para que o utilizador atribuído possa aceder.

• O conjunto de permissões exigidas pelo aplicativo foi alterado pelo desenvolvedor e precisa ser concedido novamente.

• O usuário que originalmente consentiu com o aplicativo não era um administrador, e agora um usuário diferente (não administrador) está usando o aplicativo pela primeira vez.

• O usuário que originalmente consentiu com o aplicativo era um administrador, mas não consentiu em nome de toda a organização.

• O aplicativo está usando de consentimento incremental e dinâmico para solicitar permissões adicionais após o consentimento ter sido inicialmente concedido. O consentimento incremental e dinâmico é frequentemente usado quando recursos opcionais de um aplicativo exigem permissões além daquelas necessárias para a funcionalidade de linha de base.

• O consentimento foi revogado após ter sido concedido inicialmente.

• O desenvolvedor configurou o aplicativo para exigir um prompt de consentimento toda vez que ele é usado (observação: esse comportamento não é uma prática recomendada).

  Observação

  Seguindo as recomendações e práticas recomendadas da Microsoft, muitas organizações desabilitaram ou limitaram a permissão dos usuários para conceder consentimento aos aplicativos. Se um aplicativo forçar os usuários a conceder consentimento toda vez que entrarem, a maioria dos usuários será impedida de usar esses aplicativos, mesmo que um administrador conceda consentimento de administrador em todo o locatário. Se você encontrar um aplicativo que esteja exigindo o consentimento do usuário mesmo após o consentimento do administrador ter sido concedido, verifique com o editor do aplicativo se ele tem uma configuração ou opção para parar de forçar o consentimento do usuário em cada login.

Etapas de solução de problemas

Comparar permissões solicitadas e concedidas para os aplicativos

Para garantir que as permissões concedidas para o aplicativo estejam up-to-date, você pode comparar as permissões que estão sendo solicitadas pelo aplicativo com as permissões já concedidas no locatário.

1. Entre no centro de administração do Microsoft Entra com pelo menos um perfil de Administrador de Aplicações na Nuvem.
2. Navegue até Identidade>Aplicações>Aplicações empresariais>Todas as aplicações.
3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
4. Sob Segurança na navegação à esquerda, escolha Permissões
5. Exibir a lista de permissões já concedidas na tabela na página Permissões
6. Para visualizar as permissões solicitadas, selecione o botão Conceder consentimento de administrador. Isso abre um prompt de consentimento listando todas as permissões solicitadas. Não selecione Aceitar no prompt de consentimento, a menos que tenha a certeza de que deseja conceder consentimento de administrador para todo o locatário.
7. No prompt de consentimento, expanda as permissões listadas e compare com a tabela na página de permissões. Se algum estiver presente no prompt de consentimento, mas não na página de permissões, essa permissão ainda não foi consentida. Permissões não consentidas podem ser a causa para solicitações de consentimento inesperadas exibidas para o aplicativo.

Exibir configurações de atribuição de usuário

Se o aplicativo exigir atribuição, os usuários individuais não poderão consentir por si mesmos. Para verificar se a atribuição é necessária para o aplicativo, faça o seguinte:

1. Na página do aplicativo, selecione Propriedades em Gerenciar.
2. Verifique se Atribuição é necessária? está definido como Sim.
3. Se definido como sim, um administrador deve consentir com as permissões em nome de toda a organização.

Revisar as configurações de consentimento do usuário em todo o locatário

Determinar se um usuário individual pode consentir com um aplicativo pode ser configurado por cada organização e pode diferir de diretório para diretório. Mesmo que cada permissão não exija o consentimento do administrador por padrão, sua organização pode ter desabilitado totalmente o consentimento do usuário, impedindo que um usuário individual consinta por si mesmo para um aplicativo. Para exibir as configurações de consentimento de usuário da sua organização, faça o seguinte:

1. Navegue até a página Aplicações Empresariais do centro de administração do Microsoft Entra.
2. Na secção Segurança, escolha Consentimento e permissões.
3. Exiba as configurações de consentimento do usuário. Se definido como Não permitir o consentimento do usuário, os usuários nunca poderão consentir em nome de si mesmos para um aplicativo.

Próximos passos

• Escopos, permissões e consentimento na plataforma de identidade da Microsoft (endpoint v2.0)

• Erro inesperado ao executar o consentimento para um aplicativo