Accorder et gérer le consentement aux autorisations d’application Teams

  • Article
  • S’applique à:
    Microsoft Teams

L’utilisation des applications Teams peut améliorer la productivité et la collaboration entre les utilisateurs de votre organization. Les applications Teams apportent des informations aux conseils de vos utilisateurs, sans aucun changement de contexte, et les aident à effectuer un excellent travail. En tant qu’administrateur, vous jouez un rôle essentiel pour donner à vos utilisateurs le bon type d’applications tout en équilibrant les besoins de votre entreprise en matière de sécurité et de conformité. Une fois que vous avez décidé d’approuver l’utilisation d’une application, vous devez vous assurer que l’adoption de l’application est fluide pour les utilisateurs.

Une partie essentielle consiste à accorder le consentement aux autorisations dont une application a besoin pour fonctionner. Vous consentez pour les applications approuvées afin que chaque utilisateur de votre organization n’ait pas à examiner les autorisations et à donner son consentement individuellement, lorsqu’il démarre l’application. Quelques exemples d’autorisations demandées par les applications incluent la possibilité de lire les informations stockées dans une équipe, de lire le profil d’un utilisateur et d’envoyer un e-mail au nom des utilisateurs. Pour en savoir plus sur les autorisations et le consentement, consultez Autorisations et consentement dans le point de terminaison Plateforme d'identités Microsoft.

Pour protéger les besoins de l’entreprise et respecter ses stratégies, seul un administrateur général peut accorder le consentement aux autorisations d’application au nom de tous les utilisateurs de votre organization. L’option permettant d’afficher les détails et l’obligation d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

Afficher les autorisations Microsoft Graph demandées par une application

Dans la page Gérer les applications , la colonne Autorisations indique si une application dispose d’autorisations qui nécessitent un consentement. Sélectionnez le lien Afficher les détails d’une application pour afficher les différentes autorisations et accès aux informations de organization que l’application demande. L’option permettant d’afficher les détails et d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

L’octroi d’un consentement à ces autorisations permet à une application d’accéder aux informations de votre organization. Examinez attentivement les autorisations demandées par l’application avant d’accorder votre consentement. Pour plus d’informations, consultez Autorisations et consentement des applications Teams. Seuls les administrateurs généraux peuvent accorder le consentement aux autorisations Graph qu’une application demande. Les administrateurs Teams peuvent afficher les autorisations requises dans le Centre d’administration. L’option permettant d’afficher les détails et d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

Pour afficher et accorder le consentement pour tous les utilisateurs de votre organization, procédez comme suit :

  1. Dans le Centre d’administration Teams, accédez à Applications Teams>Gérer les applications.

  2. Recherchez l’application requise, puis effectuez l’une des actions suivantes :

    • Sélectionnez le lien Afficher les détails dans la colonne Autorisations de l’application pour ouvrir l’onglet Autorisations .
    • Sélectionnez le nom de l’application pour accéder à la page des détails de l’application, puis sélectionnez l’onglet Autorisations .

  3. Sous Autorisations à l’échelle de l’organisation, sélectionnez Vérifier les autorisations et le consentement.

    Capture d’écran montrant l’option permettant d’accorder le consentement aux autorisations Graph demandées à une application.

  4. Dans la boîte de dialogue qui s’ouvre, passez en revue les autorisations demandées par l’application.

    Capture d’écran des autorisations demandées par une application

  5. Si vous acceptez les autorisations demandées par l’application, sélectionnez Accepter pour accorder le consentement. Une bannière apparaît temporairement en haut de la page pour vous informer que les autorisations demandées sont accordées pour l’application. L’application a désormais accès aux ressources spécifiées pour tous les utilisateurs de votre organization pour lesquels l’application est autorisée. Les utilisateurs ne sont pas invités à passer en revue les autorisations.

Une fois que vous avez accordé le consentement aux autorisations d’une application, un message s’affiche sous l’onglet Autorisations pour vous informer que le consentement a été accordé. Si vous souhaitez afficher les autorisations de l’application dans Microsoft Entra ID, cliquez sur le lien pour ouvrir les autorisations de l’application dans Microsoft Entra centre d’administration.

Capture d’écran montrant le lien vers Microsoft Entra centre d’administration après avoir accordé le consentement aux autorisations Graph.

Remarque

Si la nouvelle version d’une application nécessite des autorisations supplémentaires par rapport à la version précédente, vous devez accorder à nouveau le consentement à l’application.

Vous pouvez configurer les paramètres de consentement utilisateur pour permettre aux utilisateurs de donner leur consentement aux autorisations sélectionnées (approche recommandée) et utiliser des applications qui nécessitent uniquement ces autorisations spécifiques sans avoir besoin du consentement de l’administrateur.

Cette approche fonctionne avec la classification des autorisations dans Microsoft Entra portail d’ID. La classification permet aux administrateurs de définir certaines autorisations de graphe délégué comme des autorisations à faible risque dans leur organization. Les administrateurs décident des autorisations à faible risque en fonction de la posture de risque de leur organization. Par mesure de sécurité, vous ne pouvez pas classer les autorisations d’application à faible risque.

Vous pouvez configurer les paramètres de consentement de l’utilisateur de manière à ce que les utilisateurs puissent :

  • Ne pas être en mesure de donner son consentement à des applications et donc d’utiliser uniquement des applications approuvées par l’administrateur.
  • Consentez aux autorisations sélectionnées (approche recommandée) et utilisez l’application qui ne nécessitait que ces autorisations spécifiques.

L’approche recommandée fonctionne avec la classification des autorisations. La classification permet aux administrateurs de définir tout ou partie des autorisations de graphe délégué en tant qu’autorisations à faible risque dans leur organization. Les administrateurs décident des autorisations à faible risque en fonction de la posture de risque de leur organization. Par mesure de sécurité, vous ne pouvez pas classer les autorisations d’application à faible risque. Les autorisations d’application nécessitent uniquement le consentement d’un administrateur. Pour plus d’informations, consultez Configurer la façon dont les utilisateurs consentent aux applications et comment classifier les autorisations comme présentant un risque faible ou élevé.

Pour effectuer cette configuration, vous devez disposer d’un rôle Administrateur général, Administrateur d’application ou Administrateur d’application cloud dans votre organization.

Une fois que vous avez accordé le consentement aux autorisations d’une application, un message s’affiche sous l’onglet Autorisations pour vous informer que le consentement a été accordé.

Capture d’écran montrant le lien vers Entra après avoir accordé son consentement aux autorisations Graph.

Si vous souhaitez afficher les autorisations de l’application dans Microsoft Entra ID, sélectionnez le lien pour ouvrir les autorisations de l’application dans Microsoft Entra centre d’administration.

Capture d’écran montrant l’interface utilisateur Entra utilisée pour afficher et gérer le consentement accordé aux autorisations d’une application.

Sélectionnez une autorisation pour en savoir plus sur celle-ci.

Capture d’écran montrant les détails d’une autorisation sélectionnée.

Pour révoquer le consentement que vous avez accordé précédemment à une application, procédez comme suit :

  1. Sous l’onglet Autorisations, sélectionnez le lien ID Microsoft Entra pour ouvrir les autorisations de l’application dans Microsoft Entra centre d’administration.

  2. Dans l’onglet consentement Administration, choisissez l’autorisation que vous souhaitez révoquer, puis sélectionnez les points de suspension ....

  3. Sélectionnez Révoquer l’autorisation, puis Sélectionnez Oui, révoquer dans la boîte de dialogue de confirmation.

    Capture d’écran montrant l’option permettant de révoquer une autorisation Graph d’une application à partir du centre d’administration Microsoft Entra.

Une fois que vous avez révoqué le consentement à certaines autorisations, vous pouvez obtenir votre consentement. Consultez Accorder un consentement administrateur à l’échelle de l’organisation aux autorisations d’une application.

Les développeurs mettent à jour les applications pour ajouter de nouvelles fonctionnalités, améliorer les fonctionnalités existantes ou corriger les bogues. Certaines mises à jour d’application peuvent ajouter de nouvelles autorisations qui ne faisaient pas partie de la version précédente de l’application. Si le développeur ajoute de nouvelles autorisations qui nécessitent le consentement de l’administrateur, vous devez donner votre consentement pour les nouvelles autorisations. Le flux de reconsente est identique à celui décrit dans Accorder le consentement administrateur à l’échelle de l’organisation aux autorisations d’une application.

Pour en savoir plus sur les modifications d’application qui nécessitent le consentement d’un utilisateur ou d’un administrateur, consultez conditions lorsqu’une mise à jour d’application nécessite le consentement. Selon la configuration de votre organization, les utilisateurs peuvent accorder leur consentement à certains types d’autorisations.

Les autorisations RSC permettent à une application d’accéder aux données d’une équipe ou d’un utilisateur et de les modifier. Les autorisations RSC sont précises et spécifiques à l’équipe Teams à laquelle une application est ajoutée. Voici quelques exemples d’autorisations RSC : la possibilité de créer et de supprimer des canaux dans une équipe, d’obtenir les paramètres d’une équipe et de créer et supprimer des onglets de canal.

Les autorisations RSC sont définies dans le manifeste de l’application et non dans Microsoft Entra centre d’administration. Les propriétaires d’équipe peuvent accorder leur consentement pour ces autorisations lorsqu’ils ajoutent l’application à une équipe ou à une conversation. Pour en savoir plus, consultez Consentement spécifique à la ressource (RSC).

Les administrateurs généraux et les administrateurs Teams peuvent afficher les autorisations RSC pour une application dans l’onglet Autorisations de la page des détails de l’application. Pour afficher les autorisations RSC pour une application, procédez comme suit :

  1. Dans le Centre d’administration Teams, accédez à Applications> TeamsGérer les applications.

  2. Recherchez l’application requise dans le catalogue.

  3. Cliquez sur le nom de l’application pour accéder à la page des détails de l’application, puis sélectionnez l’onglet Autorisations . Vous pouvez également sélectionner le lien Afficher les détails de l’application.

  4. Sous Autorisations de consentement spécifique à la ressource (RSC), passez en revue les autorisations RSC demandées par l’application.

    Capture d’écran montrant un exemple d’autorisations RSC d’une application sous l’onglet Autorisations.

Les administrateurs peuvent configurer si les utilisateurs peuvent autoriser les applications à accéder ou non aux données de leurs groupes ou équipes. Les administrateurs généraux peuvent modifier le consentement du propriétaire du groupe pour les applications accédant aux paramètres de données dans Microsoft Entra ID, afin de permettre aux utilisateurs de donner leur consentement aux autorisations RSC.

Si vous ne laissez pas le propriétaire du groupe donner son consentement pour les applications, les utilisateurs ne peuvent pas donner leur consentement aux autorisations RSC dans une application, si des autorisations RSC sont utilisées.