Configurer la façon dont les utilisateurs donnent leur consentement aux applications

Dans cet article, vous allez apprendre à configurer la façon dont les utilisateurs donnent leur consentement aux applications et à désactiver toutes les futures opérations de consentement utilisateur aux applications.

Pour qu’une application puisse accéder aux données de votre organisation, un utilisateur doit lui accorder les autorisations nécessaires. Les différentes autorisations ont trait à des niveaux d’accès différents. Par défaut, tous les utilisateurs peuvent accorder à des applications des autorisations qui ne nécessitent pas de consentement de l’administrateur. Par exemple, par défaut, un utilisateur peut autoriser une application à accéder à sa boîte aux lettres, mais ne peut pas l’autoriser à accéder en lecture et en écriture à tous les fichiers de votre organisation.

Pour réduire le risque d’exposition à des applications malveillantes tentant d’amener les utilisateurs à leur accorder l’accès aux données de votre organisation, nous vous recommandons de permettre à l’utilisateur d’autoriser uniquement des applications publiées par un serveur de publication vérifié.

Prérequis

Pour configurer le consentement utilisateur, vous devez avoir :

• Un compte d’utilisateur. Si vous n’en avez pas déjà un, vous pouvez créer un compte gratuit.
• Un rôle Administrateur général ou Administrateur privilégié.

Configurer les paramètres de consentement de l’utilisateur

Pour configurer les paramètres de consentement de l’utilisateur via le portail Azure :

1. Connectez-vous au portail Azure en tant qu’Administrateur général.

2. Sélectionnez Azure Active Directory>Applications d’entreprise>Consentement et autorisations>Paramètres de consentement de l’utilisateur.

3. Sous Consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous voulez configurer pour tous les utilisateurs.

4. Sélectionnez Save (Enregistrer) pour enregistrer vos paramètres.

Pour choisir la stratégie de consentement aux applications régissant le consentement de l’utilisateur pour les applications, vous pouvez utiliser le module Microsoft Graph PowerShell. Les cmdlets utilisées ici sont incluses dans le module Microsoft.Graph.Identity.SignIns.

Se connecter à Microsoft Graph PowerShell

Connectez-vous à Microsoft Graph PowerShell à l’aide de l’autorisation de privilège minimum nécessaire. Pour lire les paramètres de consentement de l’utilisateur actuel, utilisez Policy.Read.All. Pour lire et modifier les paramètres de consentement de l’utilisateur, utilisez Policy.ReadWrite.Authorization.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Désactiver le consentement de l’utilisateur

Pour désactiver le consentement utilisateur, définissez les stratégies de consentement qui régissent le consentement de l’utilisateur de façon à ce qu’elles soient vides :

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Autoriser le consentement de l’utilisateur soumis à une stratégie de consentement d’application

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications :

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement aux applications personnalisée que vous avez créée ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id	Description
microsoft-user-default-low	Autoriser le consentement de l’utilisateur à des applications de serveurs de publication vérifiés, pour des autorisations sélectionnées Limiter le consentement de l’utilisateur aux applications de serveurs de publication vérifiés et inscrites dans votre locataire et uniquement pour des autorisations que vous classifiez comme ayant un faible impact. (N’oubliez pas de classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.)
microsoft-user-default-legacy	Autoriser le consentement de l’utilisateur pour les applications Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez les commandes suivantes :

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Utilisez l’Explorateur Graph pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications.

Pour désactiver le consentement utilisateur, définissez les stratégies de consentement qui régissent le consentement de l’utilisateur de façon à ce qu’elles soient vides :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Autoriser le consentement de l’utilisateur soumis à une stratégie de consentement d’application

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": ["ManagePermissionGrantsForSelf.microsoft-user-default-legacy"]
   }
}

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement aux applications personnalisée que vous avez créée ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id	Description
microsoft-user-default-low	Autoriser le consentement de l’utilisateur à des applications de serveurs de publication vérifiés, pour des autorisations sélectionnées Limiter le consentement de l’utilisateur aux applications de serveurs de publication vérifiés et inscrites dans votre locataire et uniquement pour des autorisations que vous classifiez comme ayant un faible impact. (N’oubliez pas de classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.)
microsoft-user-default-legacy	Autoriser le consentement de l’utilisateur pour les applications Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez la commande PATCH suivante :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low"
        ]
    }
}

Conseil

Pour permettre aux utilisateurs de demander la révision et l’approbation d’un administrateur d’une application à laquelle l’utilisateur n’est pas autorisé à donner son consentement, activez le workflow du consentement administrateur. Par exemple, vous pourriez l’activer lorsque le consentement utilisateur a été désactivé ou lorsqu’une application demande des autorisations que l’utilisateur n’est pas autorisé à accorder.

Étapes suivantes

• Gérer les stratégies de consentement des applications
• Configurer le workflow du consentement administrateur