Compartir vía


Consentimiento de usuario y administrador en Microsoft Entra ID

En este artículo, aprenderá los conceptos fundamentales y los escenarios en torno al consentimiento del usuario y del administrador en Microsoft Entra ID.

El consentimiento es un proceso en el que los usuarios pueden conceder permiso para que una aplicación acceda a un recurso protegido. Para indicar el nivel de acceso necesario, una aplicación solicita los permisos de API que necesita. Por ejemplo, una aplicación puede solicitar el permiso para ver el perfil de un usuario que ha iniciado sesión y leer el contenido del buzón del usuario.

El consentimiento se puede iniciar de varias maneras. Por ejemplo, se puede pedir consentimiento a los usuarios cuando intenten iniciar sesión en una aplicación por primera vez. Dependiendo de los permisos que se necesiten, es posible que algunas aplicaciones requieran que un administrador sea el que conceda consentimiento.

Un usuario puede autorizar a una aplicación a acceder a algunos datos en el recurso protegido, mientras actúa como ese usuario. Los permisos que permiten este tipo de acceso se denominan "permisos delegados".

El consentimiento del usuario se inicia cuando este inicia sesión en una aplicación. Una vez que el usuario proporcione las credenciales de inicio de sesión, se comprueban para determinar si ya se ha dado el consentimiento. Si no existe ningún registro anterior de consentimiento del usuario o administrador para los permisos necesarios, se dirige al usuario a la ventana de solicitud de consentimiento para conceder a la aplicación los permisos solicitados.

El consentimiento del usuario por parte de no administradores solo es posible en organizaciones en las que este consentimiento se permite para la aplicación y para el conjunto de permisos que esta requiere. Si el consentimiento del usuario está deshabilitado o si los usuarios no pueden dar su consentimiento para los permisos solicitados, no se les pide su consentimiento. Si los usuarios pueden dar su consentimiento y aceptan los permisos solicitados, el consentimiento se registra. Normalmente, los usuarios no tienen que dar su consentimiento de nuevo en inicios de sesión futuros de la misma aplicación.

Los usuarios controlan sus datos. Un administrador con privilegios puede configurar si los usuarios que no son administradores pueden conceder consentimiento del usuario a una aplicación. Esta configuración puede tener en cuenta aspectos de la aplicación y del editor de la aplicación, así como los permisos que se solicitan.

Como administrador, puede elegir si se permite el consentimiento del usuario. Si decide permitir el consentimiento del usuario, también puede elegir qué condiciones deben cumplirse antes de que un usuario pueda dar su consentimiento a una aplicación.

Al elegir qué directivas de consentimiento de aplicación se aplican a todos los usuarios, puede establecer límites sobre cuándo los usuarios pueden dar su consentimiento a las aplicaciones. Las directivas de consentimiento también informan de cuándo se les va a pedir a los usuarios que soliciten la revisión y aprobación del administrador. El Centro de administración de Microsoft Entra proporciona las siguientes opciones integradas:

  • Puede deshabilitar el consentimiento del usuario. Los usuarios no pueden conceder permisos a las aplicaciones. Los usuarios siguen iniciando sesión en las aplicaciones a las que ya han dado su consentimiento o en aquellas a las que los administradores conceden consentimiento en su nombre. Sin embargo, no se les permite dar su consentimiento a nuevos permisos para aplicaciones por su cuenta. Solo los usuarios a los que se les concede un rol de directorio que incluya el permiso para conceder consentimiento podrán dar consentimiento a nuevas aplicaciones.

  • Los usuarios pueden dar su consentimiento a las aplicaciones de editores verificados o de su organización, pero solo para los permisos que seleccione. Los usuarios solo pueden dar su consentimiento a las aplicaciones publicadas por un editor verificado y a las aplicaciones registradas en el inquilino. Los usuarios solo pueden dar su consentimiento a los permisos clasificados como de bajo impacto. Debe clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento.

  • Los usuarios pueden dar su consentimiento a todas las aplicaciones. Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Para la mayoría de las organizaciones, resulta adecuada alguna de las opciones integradas. Es posible que algunos clientes avanzados deseen tener más control sobre las condiciones que determinan cuándo los usuarios pueden dar su consentimiento. Estos clientes pueden crear una directiva de consentimiento de aplicación personalizada y configurar esa directiva para que se aplique al consentimiento del usuario.

Durante el consentimiento del administrador, un administrador con privilegios puede conceder acceso a una aplicación en nombre de otros usuarios (normalmente, en nombre de toda la organización). Además, durante el consentimiento del administrador, las aplicaciones o los servicios proporcionan acceso directo a una API, que la aplicación utiliza si no hay ningún usuario que haya iniciado sesión. El rol específico necesario para conceder el consentimiento del administrador difiere en función de los permisos solicitados, que se describen en el artículo conceder consentimiento del administrador.

Si la organización adquiere una licencia o una suscripción para una nueva aplicación, es posible que quiera configurar la aplicación de forma proactiva para que todos los usuarios de la organización puedan usarla. Para evitar la necesidad del consentimiento del usuario, un administrador puede conceder consentimiento para la aplicación en nombre de todos los usuarios de la organización.

Una vez que un administrador da su consentimiento en nombre de la organización, no se solicita consentimiento a los usuarios para esa aplicación. En determinados casos, es posible que se pida consentimiento a un usuario incluso después de que un administrador dé su consentimiento. Un ejemplo podría ser si una aplicación solicita otro permiso que el administrador no ha concedido.

La concesión del consentimiento del administrador en nombre de una organización es una operación confidencial, lo que potencialmente permite al editor de la aplicación acceder a partes significativas de los datos de la organización o realizar operaciones con privilegios elevados. Algunos ejemplos de estas operaciones pueden ser la administración de roles, el acceso completo a todos los buzones de correo o todos los sitios y la suplantación total de los usuarios.

Antes de conceder el consentimiento del administrador para todo el inquilino, asegúrese de que confía en la aplicación y en el editor de la aplicación para el nivel de acceso que va a conceder. Si no sabe con seguridad quién controla la aplicación y por qué la aplicación está solicitando los permisos, no conceda el consentimiento.

Para obtener instrucciones paso a paso sobre si se va a conceder el consentimiento del administrador de una aplicación, consulte Evaluación de una solicitud de consentimiento del administrador para todo el inquilino.

Para obtener instrucciones paso a paso sobre cómo conceder el consentimiento de administrador a todo el inquilino desde el Centro de administración de Microsoft Entra, consulte Conceder el consentimiento de administrador a todo el inquilino a una aplicación.

En lugar de conceder el consentimiento para toda una organización, un administrador también puede usar Microsoft Graph API para conceder consentimiento a los permisos delegados en nombre de un solo usuario. Para obtener un ejemplo detallado que use Microsoft Graph PowerShell, consulte Concesión de consentimiento en nombre de un solo usuario mediante PowerShell.

Limitación del acceso de usuario a una aplicación

Aunque ya se haya dado el consentimiento del administrador para todo el inquilino, todavía puede limitarse el acceso de los usuarios a las aplicaciones. Configure las propiedades de la aplicación para requerir que la asignación de usuarios limite el acceso de los usuarios a la aplicación. Para más información, consulte Métodos para asignar usuarios y grupos.

Para una visión más amplia, incluyendo cómo manejar otros escenarios complejos, consulte Uso de Microsoft Entra ID para la administración de acceso a aplicaciones.

El flujo de trabajo de consentimiento del administrador proporciona a los usuarios una manera de solicitar el consentimiento del administrador para las aplicaciones cuando no tienen permiso para dar su consentimiento. Cuando se habilita el flujo de trabajo de consentimiento del administrador, se muestra a los usuarios la ventana "Se necesita aprobación" para solicitar la aprobación del administrador para acceder a la aplicación.

Una vez que los usuarios envían la solicitud de consentimiento del administrador, los administradores designados como revisores reciben una notificación. Cuando un revisor realice alguna acción con la solicitud, se notifica a los usuarios. Para obtener instrucciones paso a paso para configurar el flujo de trabajo de consentimiento del administrador mediante el Centro de administración de Microsoft Entra, consulte Configurar el flujo de trabajo de consentimiento del administrador.

Una vez habilitado el flujo de trabajo de consentimiento del administrador, los usuarios pueden solicitar la aprobación del administrador para una aplicación para la que no estén autorizados para dar su consentimiento. Estos son los pasos del proceso:

  1. Un usuario intenta iniciar sesión en la aplicación.
  2. Aparece el mensaje Se necesita aprobación. El usuario escribe una justificación de su necesidad de acceder a la aplicación y, a continuación, selecciona "Aprobación de solicitud".
  3. El mensaje Solicitud enviada confirma que la solicitud se envió al administrador. Si el usuario envía varias solicitudes, solo se envía la primera al administrador.
  4. El usuario recibe una notificación por correo electrónico cuando se aprueba, se deniega o se bloquea su solicitud.

Pasos siguientes