Configuración del consentimiento de los usuarios a las aplicaciones

En este artículo, obtendrá información sobre cómo configurar la forma en que los usuarios dan su consentimiento a las aplicaciones y cómo deshabilitar todas las operaciones futuras de consentimiento del usuario para las aplicaciones.

Para que una aplicación pueda acceder a los datos de su organización, primero un usuario debe conceder los permisos de aplicación. Existen diferentes permisos que permiten distintos niveles de acceso. De forma predeterminada, todos los usuarios pueden dar su consentimiento a las aplicaciones para los permisos que no requieren el consentimiento del administrador. Por ejemplo, de forma predeterminada, un usuario puede dar su consentimiento para permitir que una aplicación acceda a su buzón, pero no puede dar su consentimiento para que una aplicación pueda acceder sin restricciones para leer y escribir en todos los archivos de la organización.

Para reducir el riesgo de que las aplicaciones malintencionadas intenten engañar a los usuarios para que les concedan acceso a los datos de su organización, se recomienda permitir el consentimiento del usuario solo para las aplicaciones publicadas por un publicador comprobado.

Requisitos previos

Para configurar el consentimiento del usuario, necesita lo siguiente:

  • Una cuenta de usuario. Si no la tiene, puede crear una cuenta gratis.
  • Un rol Administrador global o Administrador con privilegios.

Para configurar el consentimiento del usuario en Azure Portal:

  1. Inicie sesión en Azure Portal como Administrador global.

  2. Seleccione Azure Active Directory>Aplicaciones empresariales>Consentimiento y permisos>Configuración del consentimiento de los usuarios.

  3. En Consentimiento del usuario para las aplicaciones, seleccione la configuración de consentimiento que desee establecer para todos los usuarios.

  4. Haga clic en Guardar para guardar la configuración.

Captura de pantalla del panel

Puede usar el módulo de PowerShell de Microsoft Graph para elegir la directiva de consentimiento de aplicaciones que rige el consentimiento del usuario para las aplicaciones. Los cmdlets que se usan aquí se incluyen en el módulo Microsoft.Graph.Identity.SignIns.

Conexión a PowerShell de Microsoft Graph

Conéctese a PowerShell de Microsoft Graph con un permiso con los privilegios mínimos necesarios. Para leer la configuración de consentimiento del usuario actual, use Policy.Read.All. Para leer y cambiar la configuración de consentimiento del usuario, use Policy.ReadWrite.Authorization.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Para deshabilitar el consentimiento del usuario, establezca las directivas de consentimiento que rigen el consentimiento del usuario para que estén vacías:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Para permitir el consentimiento del usuario, elija la directiva de consentimiento de aplicaciones que debe controlar la autorización de los usuarios para conceder consentimiento a las aplicaciones:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Reemplace {consent-policy-id} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID Descripción
microsoft-user-default-low Permitir el consentimiento del usuario para las aplicaciones de publicadores verificados para los permisos seleccionados
Permita el consentimiento limitado del usuario solo para aplicaciones de editores verificados y aplicaciones que estén registradas en el inquilino, y solo para los permisos que clasifique como de bajo impacto. (Recuerde clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento).
microsoft-user-default-legacy Permitir el consentimiento del usuario para las aplicaciones
Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Por ejemplo, para habilitar el consentimiento del usuario en función de la directiva integrada microsoft-user-default-low, ejecute los comandos siguientes:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Use el Probador de Graph para elegir qué directiva de consentimiento de aplicación rige el consentimiento del usuario para las aplicaciones.

Para deshabilitar el consentimiento del usuario, establezca las directivas de consentimiento que rigen el consentimiento del usuario para que estén vacías:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Para permitir el consentimiento del usuario, elija la directiva de consentimiento de aplicaciones que debe controlar la autorización de los usuarios para conceder consentimiento a las aplicaciones:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": ["ManagePermissionGrantsForSelf.microsoft-user-default-legacy"]
   }
}

Reemplace {consent-policy-id} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID Descripción
microsoft-user-default-low Permitir el consentimiento del usuario para las aplicaciones de publicadores verificados para los permisos seleccionados
Permita el consentimiento limitado del usuario solo para aplicaciones de editores verificados y aplicaciones que estén registradas en el inquilino, y solo para los permisos que clasifique como de bajo impacto. (Recuerde clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento).
microsoft-user-default-legacy Permitir el consentimiento del usuario para las aplicaciones
Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Por ejemplo, para habilitar el consentimiento del usuario sujeto a la directiva integrada microsoft-user-default-low, ejecute el siguiente comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low"
        ]
    }
}

Sugerencia

Para permitir que los usuarios soliciten la revisión y aprobación de un administrador de una aplicación a la que el usuario no puede dar su consentimiento, habilite el flujo de trabajo de consentimiento del administrador. Por ejemplo, puede hacerlo cuando se haya deshabilitado el consentimiento del usuario o cuando una aplicación solicite permisos que el usuario no puede conceder.

Pasos siguientes