Invite de consentement inattendue lors de la connexion à une application

Pour s’exécuter, de nombreuses applications qui s’intègrent à Microsoft Entra ID nécessitent des autorisations à diverses ressources. Quand ces ressources sont également intégrées à Microsoft Entra ID, vous devez utiliser l’infrastructure de consentement Microsoft Entra pour demander les autorisations d’accès nécessaires. Ces requêtes affichent une invite de consentement à la première utilisation d’une application (il s’agit généralement d’une opération unique).

Dans certains scénarios, des invites de consentement supplémentaires peuvent apparaître lorsqu’un utilisateur tente de se connecter. Dans cet article, nous diagnostiquons la raison pour laquelle des invites de consentement inattendues s’affichent et comment résoudre ce problème.

Scénarios dans lesquels des invites de consentement sont présentées aux utilisateurs

Divers scénarios entraînent l’affichage d’invites supplémentaires :

• L’application a été configurée pour exiger une attribution. Le consentement individuel de l’utilisateur n’est actuellement pas pris en charge pour les applications qui nécessitent une affectation. Ainsi, les autorisations doivent être accordées par un administrateur pour l’ensemble du répertoire. Si vous configurez une application pour exiger une attribution, veillez également à accorder le consentement administrateur à l’échelle du locataire afin que l’utilisateur attribué puisse se connecter.

• Le jeu d’autorisations requis par l’application a été modifié par le développeur et doit être accordé à nouveau.

• L’utilisateur ayant initialement donné son consentement à l’application n’était pas un administrateur, et un autre utilisateur (non administrateur) utilise l’application pour la première fois.

• L’utilisateur ayant initialement donné son consentement à l’application était un administrateur, mais il n’a pas donné son consentement au nom de toute l’organisation.

• L’application utilise le consentement incrémentiel et dynamique pour demander des autorisations supplémentaires après le consentement initial. Un consentement incrémentiel et dynamique est souvent utilisé quand les fonctionnalités facultatives d’une application nécessitent des autorisations au-delà de celles exigées pour les fonctionnalités de base.

• Le consentement, bien qu’initialement accordé, a été révoqué.

• Le développeur a configuré l’application pour exiger une invite de consentement à chaque utilisation (remarque : ce comportement ne correspond pas aux meilleures pratiques).

  Notes

  Suivant les recommandations et les meilleures pratiques de Microsoft, de nombreuses organisations ont désactivé ou limité l’autorisation des utilisateurs à accorder leur consentement aux applications. Si une application oblige les utilisateurs à accorder leur consentement chaque fois qu’ils se connectent, la plupart des utilisateurs ne pourront pas utiliser ces applications, même si un administrateur accorde son consentement à l’échelle du locataire. Si vous rencontrez une application qui demande le consentement de l’utilisateur même après l’octroi du consentement administrateur, vérifiez auprès de l’éditeur de l’application s’il dispose d’un paramètre ou d’une option permettant de ne plus demander le consentement de l’utilisateur à chaque connexion.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Étapes de dépannage

Comparer les autorisations demandées et accordées pour les applications

Pour vous assurer que les autorisations accordées pour l’application sont à jour, vous pouvez comparer les autorisations demandées par l’application avec celles déjà accordées dans le locataire.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.
3. Entrez le nom de l’application dans la zone de recherche, puis sélectionnez l’application dans les résultats.
4. Sous Sécurité dans le volet de navigation gauche, choisissez Autorisations
5. Afficher la liste des autorisations déjà accordées à partir de la table de la page Autorisations
6. Pour afficher les autorisations demandées, sélectionnez le bouton Accorder un consentement administrateur. Cette opération ouvre une invite de consentement répertoriant toutes les autorisations demandées. Ne sélectionnez pas Accepter à l’invite de consentement, sauf si vous êtes sûr de vouloir accorder le consentement administrateur à l’échelle du locataire.
7. Dans l’invite de consentement, développez les autorisations répertoriées et comparez-les au tableau de la page autorisations. Si une autorisation apparaît dans l’invite mais pas dans la page des autorisations, cette autorisation n’a pas encore été autorisée. Les autorisations non consenties peuvent être la cause d’invites de consentement inattendues affichées pour l’application.

Afficher les paramètres d’affectation par l’utilisateur

Si l’application nécessite une affectation, les utilisateurs individuels ne peuvent pas donner leur consentement. Pour vérifier si une affectation est requise pour l’application, procédez comme suit :

1. Dans la page de l’application, sélectionnez Propriétés sous Gérer.
2. Vérifiez si le champ Affectation requise ? est défini sur Oui.
3. S’il est défini sur Oui, un administrateur doit donner son consentement aux autorisations pour l’ensemble de l’organisation.

Passer en revue les paramètres de consentement de l’utilisateur à l’échelle du locataire

Déterminer si un utilisateur individuel peut donner son consentement à une application peut être configuré par chaque organisation et peut différer d’un répertoire à un autre. Même si chaque autorisation ne nécessite pas de consentement administrateur par défaut, votre organisation peut avoir désactivé entièrement le consentement de l’utilisateur, empêchant un utilisateur individuel de donner son consentement pour une application. Pour afficher les paramètres de consentement de l’utilisateur de votre organisation, procédez comme suit :

1. Accédez à la page Applications d’entreprise du Centre d’administration Microsoft Entra.
2. Sous Sécurité, choisissez Consentement et autorisations.
3. Affichez les paramètres de consentement de l’utilisateur. Si cette option est définie sur Ne pas autoriser le consentement de l’utilisateur, les utilisateurs ne peuvent jamais donner leur consentement en leur nom propre pour une application.

Étapes suivantes

• Étendue, autorisations et consentement dans la plateforme d’identités Microsoft (point de terminaison v2.0)

• Erreur inattendue lors du consentement à une application