Partager via


Configurer la façon dont les utilisateurs donnent leur consentement aux applications

Dans cet article, vous allez apprendre à configurer les paramètres de consentement utilisateur dans l’ID Microsoft Entra pour contrôler quand et comment les utilisateurs accordent des autorisations aux applications. Ces conseils aident les administrateurs informatiques à réduire les risques de sécurité en limitant ou en désactivant le consentement de l’utilisateur.

Pour qu’une application puisse accéder aux données de votre organisation, un utilisateur doit lui accorder les autorisations nécessaires. Les différentes autorisations ont trait à des niveaux d’accès différents. Par défaut, tous les utilisateurs peuvent accorder à des applications des autorisations qui ne nécessitent pas de consentement administrateur. Par exemple, par défaut, un utilisateur peut autoriser une application à accéder à sa boîte aux lettres, mais ne peut pas l’autoriser à accéder en lecture et en écriture à tous les fichiers de votre organisation.

Pour réduire le risque d’applications malveillantes qui tentent d’inciter les utilisateurs à leur accorder l’accès aux données de votre organisation, nous vous recommandons d’autoriser le consentement de l’utilisateur uniquement pour les applications publiées par un éditeur vérifié.

Note

Les applications qui exigent que les utilisateurs soient affectés à l’application doivent disposer de leurs autorisations accordées par un administrateur, même si les stratégies de consentement de l’utilisateur pour votre annuaire autorisent un utilisateur à donner son consentement pour le compte d’eux-mêmes.

Prerequisites

Pour configurer le consentement de l'utilisateur, vous devez avoir :

Vous pouvez configurer les paramètres de consentement utilisateur dans Microsoft Entra ID à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph. Les paramètres que vous configurez s’appliquent à tous les utilisateurs de votre organisation.

Pour configurer les paramètres de consentement de l'utilisateur via le centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Accédez à Identity>Applications>applications d'entreprise>Consentement et autorisations>Paramètres de consentement utilisateur.

  3. Sous Consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous souhaitez configurer pour tous les utilisateurs.

  4. Sélectionnez Enregistrer pour enregistrer vos paramètres.

Capture d’écran du volet « Paramètres de consentement de l’utilisateur ».

Comprendre les stratégies d’autorisation et d’octroi d’autorisations dans Microsoft Graph PowerShell

Pour configurer les paramètres de consentement utilisateur par programmation à l’aide de Microsoft Graph PowerShell, il est important de comprendre la distinction entre la stratégie d’autorisation à l’échelle du locataire et les stratégies d’octroi d’autorisations individuelles. Le authorizationPolicy, récupéré à l’aide de Update-MgPolicyAuthorizationPolicy régit les paramètres globaux tels que si les utilisateurs peuvent donner leur consentement aux applications et quelles stratégies d’octroi d’autorisations sont affectées au rôle d’utilisateur par défaut. Par exemple, vous pouvez désactiver le consentement utilisateur tout en permettant aux développeurs de gérer les autorisations pour les applications qu’ils possèdent en attribuant uniquement ManagePermissionGrantsForOwnedResource.DeveloperConsent dans la collection permissionGrantPoliciesAssigned.

En revanche, le point de terminaison permissionGrantPolicies répertorie vos stratégies d’octroi d’autorisations actuelles. Ces stratégies déterminent les autorisations qui peuvent être accordées aux applications et dans quelles circonstances. Chaque stratégie « inclut » certaines conditions, mais « exclut » d’autres. Lorsqu’un utilisateur tente de donner son consentement à une application, le système vérifie les stratégies d’octroi d’autorisations pour voir si l’une d’elles s’applique à la demande de l’utilisateur. Par exemple, la stratégie à faible risque permettrait aux utilisateurs de consentir à ces autorisations configurées en tant que « faible risque ». Il inclut ces stratégies à faible risque (en tant que GUID). Dans un autre scénario, si un utilisateur tente de donner son consentement dans un contexte qui correspond à la stratégie « AdminOnly », il ne peut pas donner son consentement.

Note

Avant de mettre à jour les paramètres de consentement avec une Update-MgPolicyPermissionGrantPolicy commande, récupérez toujours l'état actuel de authorizationPolicy pour identifier les stratégies d'autorisation déjà affectées. Cela garantit que vous conservez les autorisations nécessaires, telles que celles permettant aux développeurs de gérer le consentement des applications qu’ils possèdent, et d’éviter de supprimer involontairement les fonctionnalités existantes.

Pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications, utilisez le module Microsoft Graph PowerShell . Les applets de commande utilisées ici sont incluses dans le module Microsoft.Graph.Identity.SignIns .

Connectez-vous à Microsoft Graph PowerShell à l’aide de l’autorisation de privilège minimum nécessaire. Pour lire les paramètres de consentement de l’utilisateur actuel, utilisez Policy.Read.All. Pour lire et modifier les paramètres de consentement de l’utilisateur, utilisez Policy.ReadWrite.Authorization. Vous devez vous connecter en tant qu’administrateur de rôle privilégié.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement d’application personnalisée que vous avez créée, ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id Descriptif
microsoft-user-default-low Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées
Autorisez uniquement le consentement de l’utilisateur limité pour les applications provenant d’éditeurs vérifiés et d’applications inscrites dans votre locataire, et uniquement pour les autorisations que vous classifiez comme ayant un impact faible. (N’oubliez pas de classer les autorisations pour sélectionner les autorisations auxquelles les utilisateurs sont autorisés à donner leur consentement.)
microsoft-user-default-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement de l'utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez les commandes suivantes :

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Comprendre les stratégies d’autorisation et d’octroi d’autorisations dans Microsoft Graph

Pour configurer les paramètres de consentement utilisateur par programmation à l’aide de Microsoft Graph, il est important de comprendre la distinction entre la stratégie d’autorisation à l’échelle du locataire et les stratégies d’octroi d’autorisations individuelles. Le authorizationPolicy (récupéré à l’aide GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicy) régit les paramètres globaux tels que si les utilisateurs peuvent donner leur consentement aux applications et quelles stratégies d’octroi d’autorisations sont affectées au rôle d’utilisateur par défaut. Par exemple, vous pouvez désactiver le consentement utilisateur tout en permettant aux développeurs de gérer les autorisations pour les applications qu’ils possèdent en attribuant uniquement ManagePermissionGrantsForOwnedResource.DeveloperConsent dans la collection permissionGrantPoliciesAssigned.

En revanche, le permissionGrantPolicies point de terminaison (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) répertorie vos stratégies d’octroi d’autorisations actuelles. Ces stratégies déterminent les autorisations qui peuvent être accordées aux applications et dans quelles circonstances. Chaque stratégie « inclut » certaines conditions, mais « exclut » d’autres. Lorsqu’un utilisateur tente de donner son consentement à une application, le système vérifie les stratégies d’octroi d’autorisations pour voir si l’une d’elles s’applique à la demande de l’utilisateur. Par exemple, la stratégie à faible risque permettrait aux utilisateurs de consentir à ces autorisations configurées en tant que « faible risque ». Il inclut ces stratégies à faible risque (en tant que GUID). Dans un autre scénario, si un utilisateur tente de donner son consentement dans un contexte qui correspond à la stratégie « AdminOnly », il ne peut pas donner son consentement.

Note

Avant de mettre à jour les paramètres de consentement avec une PATCH demande, récupérez toujours les paramètres actuels authorizationPolicy pour identifier les politiques de permission déjà affectées. Cela garantit que vous conservez les autorisations nécessaires, telles que celles permettant aux développeurs de gérer le consentement des applications qu’ils possèdent, et d’éviter de supprimer involontairement les fonctionnalités existantes.

Utilisez l’Explorateur Graph pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications. Vous devez vous connecter en tant qu’administrateur de rôle privilégié.

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement d’application personnalisée que vous avez créée, ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id Descriptif
microsoft-user-default-low Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées
Autorisez uniquement le consentement de l’utilisateur limité pour les applications provenant d’éditeurs vérifiés et d’applications inscrites dans votre locataire, et uniquement pour les autorisations que vous classifiez comme ayant un impact faible. (N’oubliez pas de classer les autorisations pour sélectionner les autorisations auxquelles les utilisateurs sont autorisés à donner leur consentement.)
microsoft-user-default-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement de l'utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez la commande PATCH suivante :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Les mises à jour des paramètres de consentement de l’utilisateur n’affecte que les opérations de consentement futures pour les applications. Les octrois de consentement existants restent inchangés et les utilisateurs continuent d’avoir accès sur la base des autorisations précédemment accordées. Pour savoir comment révoquer des octrois de consentement existants, consultez Passer en revue les autorisations accordées aux applications.

Conseil

Pour permettre aux utilisateurs de demander la révision et l’approbation d’une application à laquelle l’utilisateur n’est pas autorisé à donner son consentement, activez le flux de travail de consentement de l’administrateur. Par exemple, vous pourriez l’activer lorsque le consentement de l'utilisateur a été désactivé ou lorsqu’une application demande des autorisations que l’utilisateur n’est pas autorisé à accorder.

Étapes suivantes