Partilhar via

Pedido de consentimento inesperado ao iniciar sessão numa aplicação

  • Artigo

Muitos aplicativos que se integram com o Microsoft Entra ID exigem permissões para vários recursos para serem executados. Quando esses recursos também são integrados ao Microsoft Entra ID, a permissão para acessá-los é solicitada usando a estrutura de consentimento do Microsoft Entra. Essas solicitações resultam em um prompt de consentimento sendo mostrado na primeira vez que um aplicativo é usado, o que geralmente é uma operação única.

Em determinados cenários, solicitações de consentimento adicionais podem aparecer quando um usuário tenta entrar. Neste artigo, diagnosticamos o motivo da exibição de solicitações de consentimento inesperadas e como solucionar problemas.

Outras solicitações podem ser esperadas em vários cenários:

  • O aplicativo foi configurado para exigir atribuição. Atualmente, o consentimento individual do usuário não é suportado para aplicativos que exigem atribuição; assim, as permissões devem ser concedidas por um administrador para todo o diretório. Se você configurar um aplicativo para exigir atribuição, certifique-se de conceder também o consentimento de administrador de todo o locatário para que o usuário atribuído possa entrar.

  • O conjunto de permissões exigidas pelo aplicativo foi alterado pelo desenvolvedor e precisa ser concedido novamente.

  • O usuário que originalmente consentiu com o aplicativo não era um administrador, e agora um usuário diferente (não administrador) está usando o aplicativo pela primeira vez.

  • O usuário que originalmente consentiu com o aplicativo era um administrador, mas não consentiu em nome de toda a organização.

  • O aplicativo está usando consentimento incremental e dinâmico para solicitar permissões adicionais após o consentimento ter sido inicialmente concedido. O consentimento incremental e dinâmico é frequentemente usado quando recursos opcionais de um aplicativo exigem permissões além daquelas necessárias para a funcionalidade de linha de base.

  • O consentimento foi revogado após ter sido concedido inicialmente.

  • O desenvolvedor configurou o aplicativo para exigir um prompt de consentimento toda vez que ele é usado (observação: esse comportamento não é uma prática recomendada).

    Nota

    Seguindo as recomendações e práticas recomendadas da Microsoft, muitas organizações desabilitaram ou limitaram a permissão dos usuários para conceder consentimento aos aplicativos. Se um aplicativo forçar os usuários a conceder consentimento toda vez que entrarem, a maioria dos usuários será impedida de usar esses aplicativos, mesmo que um administrador conceda consentimento de administrador em todo o locatário. Se você encontrar um aplicativo que esteja exigindo o consentimento do usuário mesmo após o consentimento do administrador ter sido concedido, verifique com o editor do aplicativo se ele tem uma configuração ou opção para parar de forçar o consentimento do usuário em cada login.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Passos de resolução de problemas

Comparar permissões solicitadas e concedidas para os aplicativos

Para garantir que as permissões concedidas para o aplicativo estejam atualizadas, você pode comparar as permissões que estão sendo solicitadas pelo aplicativo com as permissões já concedidas no locatário.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
  3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
  4. Em Segurança na navegação à esquerda, escolha Permissões
  5. Exibir a lista de permissões já concedidas na tabela na página Permissões
  6. Para visualizar as permissões solicitadas, selecione o botão Conceder consentimento de administrador. Isso abre um prompt de consentimento listando todas as permissões solicitadas. Não selecione Aceitar no prompt de consentimento, a menos que tenha certeza de que deseja conceder consentimento de administrador em todo o locatário.
  7. No prompt de consentimento, expanda as permissões listadas e compare com a tabela na página de permissões. Se algum estiver presente no prompt de consentimento, mas não na página de permissões, essa permissão ainda não foi consentida. Permissões não consentidas podem ser a causa para solicitações de consentimento inesperadas exibidas para o aplicativo.

Exibir configurações de atribuição de usuário

Se o aplicativo exigir atribuição, os usuários individuais não poderão consentir por si mesmos. Para verificar se a atribuição é necessária para a aplicação, faça o seguinte:

  1. Na página do aplicativo, selecione Propriedades em Gerenciar.
  2. Verifique se Atribuição necessária? está definido como Sim.
  3. Se definido como sim, um administrador deve consentir com as permissões em nome de toda a organização.

Determinar se um usuário individual pode consentir com um aplicativo pode ser configurado por cada organização e pode diferir de diretório para diretório. Mesmo que cada permissão não exija o consentimento do administrador por padrão, sua organização pode ter desabilitado totalmente o consentimento do usuário, impedindo que um usuário individual consinta por si mesmo para um aplicativo. Para exibir as configurações de consentimento de usuário da sua organização, faça o seguinte:

  1. Navegue até a página Aplicativos corporativos do centro de administração do Microsoft Entra.
  2. Em Segurança, escolha Consentimento e permissões.
  3. Exiba as configurações de consentimento do usuário. Se definido como Não permitir o consentimento do usuário, os usuários nunca poderão consentir em nome de si mesmos para um aplicativo.

Próximos passos