Consentimiento de usuario y administrador en Microsoft Entra ID

  • Artículo

En este artículo, usted aprenderá los conceptos fundamentales y los escenarios en torno al consentimiento del usuario y del administrador en Microsoft Entra ID.

El consentimiento es un proceso en el que los usuarios pueden conceder permiso para que una aplicación acceda a un recurso protegido. Para indicar el nivel de acceso necesario, una aplicación solicita los permisos de API que necesita. Por ejemplo, una aplicación puede solicitar el permiso para ver el perfil de un usuario que ha iniciado sesión y leer el contenido del buzón del usuario.

El consentimiento se puede iniciar de varias maneras. Por ejemplo, se puede pedir consentimiento a los usuarios cuando intenten iniciar sesión en una aplicación por primera vez. Dependiendo de los permisos que se necesiten, es posible que algunas aplicaciones requieran que un administrador sea el que conceda consentimiento.

Un usuario puede autorizar a una aplicación a acceder a algunos datos en el recurso protegido, mientras actúa como ese usuario. Los permisos que permiten este tipo de acceso se denominan "permisos delegados".

Normalmente, el consentimiento del usuario se inicia cuando este inicia sesión en una aplicación. Una vez que el usuario ha proporcionado las credenciales de inicio de sesión, se comprueban para determinar si ya se ha concedido el consentimiento. Si no existe ningún registro anterior de consentimiento del usuario o administrador para los permisos necesarios, se dirige al usuario a la ventana de solicitud de consentimiento para conceder a la aplicación los permisos solicitados.

El consentimiento del usuario por parte de usuarios que no son administradores solo es posible en organizaciones en las que se permite el consentimiento del usuario para la aplicación y para el conjunto de permisos que requiere la aplicación. Si el consentimiento del usuario está deshabilitado o si los usuarios no pueden dar su consentimiento para los permisos solicitados, no se les pedirá su consentimiento. Si los usuarios pueden dar su consentimiento y aceptan los permisos solicitados, el consentimiento se registra y normalmente no tienen que dar su consentimiento de nuevo en futuros inicios de sesión en la misma aplicación.

Los usuarios controlan sus datos. Un administrador con privilegios puede configurar si los usuarios que no son administradores pueden conceder consentimiento de usuario a una aplicación. Esta configuración puede tener en cuenta aspectos de la aplicación y del editor de la aplicación, así como los permisos que se solicitan.

Como administrador, puede elegir si se permite el consentimiento del usuario. Si decide permitir el consentimiento del usuario, también puede elegir qué condiciones deben cumplirse antes de que un usuario pueda dar su consentimiento a una aplicación.

Al elegir qué directivas de consentimiento de aplicación se aplican a todos los usuarios, puede establecer límites sobre cuándo los usuarios pueden conceder consentimiento a las aplicaciones y cuándo se les pedirá que soliciten la revisión y aprobación del administrador. El Centro de administración de Microsoft Entra proporciona las siguientes opciones integradas:

  • Puede deshabilitar el consentimiento del usuario. Los usuarios no pueden conceder permisos a las aplicaciones. Los usuarios siguen iniciando sesión en las aplicaciones a las que previamente han dado su consentimiento o a las aplicaciones a las que los administradores han concedido consentimiento en su nombre, pero no podrán dar su consentimiento a nuevos permisos para las aplicaciones por sí mismos. Solo los usuarios a los que se haya concedido un rol de directorio que incluya el permiso para conceder consentimiento podrán dar consentimiento a nuevas aplicaciones.

  • Los usuarios pueden dar su consentimiento a las aplicaciones de editores verificados o de su organización, pero solo para los permisos que seleccione. Los usuarios solo pueden dar su consentimiento a las aplicaciones publicadas por un editor verificado y a las aplicaciones registradas en el inquilino. Los usuarios solo pueden dar su consentimiento a los permisos que haya clasificado como de bajo impacto. Debe clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento.

  • Los usuarios pueden dar su consentimiento a todas las aplicaciones. Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Para la mayoría de las organizaciones, será adecuada cualquiera de las opciones integradas. Es posible que algunos clientes avanzados deseen tener más control sobre las condiciones que determinan cuándo los usuarios pueden dar su consentimiento. Estos clientes pueden crear una directiva de consentimiento de aplicación personalizada y configurar esa directiva para que se aplique al consentimiento del usuario.

Durante el consentimiento del administrador, un administrador con privilegios puede conceder a una aplicación acceso en nombre de otros usuarios (normalmente, en nombre de toda la organización). Además, durante el consentimiento del administrador, las aplicaciones o los servicios proporcionan acceso directo a una API, que la aplicación puede usar si no hay ningún usuario que haya iniciado sesión. El rol específico necesario para conceder el consentimiento del administrador difiere en función de los permisos solicitados, que se describen en el artículo conceder consentimiento del administrador.

Si la organización adquiere una licencia o una suscripción para una nueva aplicación, es posible que quiera configurar la aplicación de forma proactiva para que todos los usuarios de la organización puedan usarla. Para evitar la necesidad del consentimiento del usuario, un administrador puede conceder consentimiento para la aplicación en nombre de todos los usuarios de la organización.

Una vez que un administrador concede el consentimiento del administrador en nombre de la organización, normalmente no se solicita consentimiento a los usuarios para esa aplicación. En determinados casos, es posible que se pida consentimiento a un usuario incluso después de que un administrador haya concedido el consentimiento. Un ejemplo podría ser si una aplicación solicita otro permiso que el administrador aún no ha concedido.

La concesión del consentimiento del administrador en nombre de una organización es una operación confidencial, lo que potencialmente permite al editor de la aplicación acceder a partes significativas de los datos de la organización o realizar operaciones con privilegios elevados. Algunos ejemplos de estas operaciones pueden ser la administración de roles, el acceso completo a todos los buzones de correo o todos los sitios y la suplantación total de los usuarios.

Antes de conceder el consentimiento del administrador para todo el inquilino, asegúrese de que confía en la aplicación y en el editor de la aplicación para el nivel de acceso que va a conceder. Si no sabe con seguridad quién controla la aplicación y por qué la aplicación está solicitando los permisos, no conceda el consentimiento.

Para obtener instrucciones paso a paso sobre si se va a conceder el consentimiento del administrador de una aplicación, consulte Evaluación de una solicitud de consentimiento del administrador para todo el inquilino.

Para obtener instrucciones paso a paso sobre cómo conceder el consentimiento de administrador a todo el inquilino desde el Centro de administración de Microsoft Entra, consulte Conceder el consentimiento de administrador a todo el inquilino a una aplicación.

En lugar de conceder el consentimiento para toda una organización, un administrador también puede usar Microsoft Graph API para conceder consentimiento a los permisos delegados en nombre de un solo usuario. Para obtener un ejemplo detallado que use Microsoft Graph PowerShell, consulte Concesión de consentimiento en nombre de un solo usuario mediante PowerShell.

Limitación del acceso de usuario a una aplicación

Aunque se haya concedido consentimiento del administrador para todo el inquilino, todavía puede limitarse el acceso de los usuarios a las aplicaciones. Configure las propiedades de la aplicación para requerir que la asignación de usuarios limite el acceso de los usuarios a la aplicación. Para más información, consulte Métodos para asignar usuarios y grupos.

Para una visión más amplia, incluyendo cómo manejar otros escenarios complejos, consulte Uso de Microsoft Entra ID para la administración de acceso a aplicaciones.

El flujo de trabajo de consentimiento del administrador proporciona a los usuarios una manera de solicitar el consentimiento del administrador para las aplicaciones cuando no tienen permiso para dar su consentimiento. Cuando se habilita el flujo de trabajo de consentimiento del administrador, se muestra a los usuarios la ventana "Se necesita aprobación" para solicitar la aprobación del administrador para acceder a la aplicación.

Una vez que los usuarios envían la solicitud de consentimiento del administrador, los administradores designados como revisores reciben una notificación. Cuando un revisor haya realizado alguna acción con la solicitud, se notificará a los usuarios. Para obtener instrucciones paso a paso para configurar el flujo de trabajo de consentimiento del administrador mediante el Centro de administración de Microsoft Entra, consulte Configurar el flujo de trabajo de consentimiento del administrador.

Una vez habilitado el flujo de trabajo de consentimiento del administrador, los usuarios pueden solicitar la aprobación del administrador para una aplicación para la que no estén autorizados para dar su consentimiento. Estos son los pasos del proceso:

  1. Un usuario intenta iniciar sesión en la aplicación.
  2. Aparece el mensaje Se necesita aprobación. El usuario escribe una justificación de su necesidad de acceder a la aplicación y, a continuación, selecciona "Aprobación de solicitud".
  3. El mensaje Solicitud enviada confirma que la solicitud se envió al administrador. Si el usuario envía varias solicitudes, solo se envía la primera al administrador.
  4. El usuario recibe una notificación por correo electrónico cuando se aprueba, se deniega o se bloquea su solicitud.

Pasos siguientes