Partager via

Configurer la façon dont les utilisateurs donnent leur consentement aux applications

  • Article

Dans cet article, vous allez apprendre à configurer les paramètres de consentement utilisateur dans l’ID Microsoft Entra pour contrôler quand et comment les utilisateurs accordent des autorisations aux applications. Ces conseils aident les administrateurs informatiques à réduire les risques de sécurité en limitant ou en désactivant le consentement de l’utilisateur.

Pour qu’une application puisse accéder aux données de votre organisation, un utilisateur doit lui accorder les autorisations nécessaires. Les différentes autorisations ont trait à des niveaux d’accès différents. Par défaut, tous les utilisateurs peuvent accorder à des applications des autorisations qui ne nécessitent pas de consentement de l’administrateur. Par exemple, par défaut, un utilisateur peut autoriser une application à accéder à sa boîte aux lettres, mais ne peut pas l’autoriser à accéder en lecture et en écriture à tous les fichiers de votre organisation.

Pour réduire le risque d’applications malveillantes qui tentent d’inciter les utilisateurs à leur accorder l’accès aux données de votre organisation, nous vous recommandons d’autoriser le consentement de l’utilisateur uniquement pour les applications publiées par un éditeur vérifié.

Remarque

Les applications qui exigent que les utilisateurs soient affectés à l’application doivent disposer de leurs autorisations accordées par un administrateur, même si les stratégies de consentement de l’utilisateur pour votre annuaire autorisent un utilisateur à donner son consentement pour le compte d’eux-mêmes.

Prérequis

Pour configurer le consentement utilisateur, vous devez avoir :

Vous pouvez configurer les paramètres de consentement utilisateur dans Microsoft Entra ID à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’API Microsoft Graph. Les paramètres que vous configurez s’appliquent à tous les utilisateurs de votre organisation.

Pour configurer les paramètres de consentement utilisateur via le Centre d’administration Microsoft Entra :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié.

  2. Accédez à Entra ID>applications Enterprise>consentement et autorisations>paramètres de consentement utilisateur.

  3. Sous Consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous souhaitez configurer pour tous les utilisateurs.

  4. Sélectionnez Enregistrer pour enregistrer vos paramètres.

Capture d’écran du volet « Paramètres de consentement de l’utilisateur ».

Pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications, utilisez le module Microsoft Graph PowerShell . Les applets de commande utilisées ici sont incluses dans le module Microsoft.Graph.Identity.SignIns .

Connectez-vous à Microsoft Graph PowerShell à l’aide de l’autorisation de privilège minimum nécessaire. Pour lire les paramètres de consentement de l’utilisateur actuel, utilisez Policy.Read.All. Pour lire et modifier les paramètres de consentement de l’utilisateur, utilisez Policy.ReadWrite.Authorization. Vous devez vous connecter en tant qu’administrateur de rôle privilégié.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement d’application personnalisée que vous avez créée, ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id Descriptif
niveau-standard-utilisateur-microsoft-faible Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées
Autorisez uniquement le consentement de l’utilisateur limité pour les applications provenant d’éditeurs vérifiés et d’applications inscrites dans votre locataire, et uniquement pour les autorisations que vous classifiez comme ayant un impact faible. (N’oubliez pas de classer les autorisations pour sélectionner les autorisations auxquelles les utilisateurs sont autorisés à donner leur consentement.)
microsoft-utilisateur-par-défaut-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez les commandes suivantes :

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Utilisez l’Explorateur Graph pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications. Vous devez vous connecter en tant qu’administrateur de rôle privilégié.

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies actuelles ManagePermissionGrantsForOwnedResource.* le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement d’application personnalisée que vous avez créée, ou vous pouvez choisir parmi les stratégies intégrées suivantes :

id Descriptif
niveau-standard-utilisateur-microsoft-faible Autoriser le consentement de l’utilisateur pour les applications à partir d’éditeurs vérifiés, pour les autorisations sélectionnées
Autorisez uniquement le consentement de l’utilisateur limité pour les applications provenant d’éditeurs vérifiés et d’applications inscrites dans votre locataire, et uniquement pour les autorisations que vous classifiez comme ayant un impact faible. (N’oubliez pas de classer les autorisations pour sélectionner les autorisations auxquelles les utilisateurs sont autorisés à donner leur consentement.)
microsoft-utilisateur-par-défaut-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez la commande PATCH suivante :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Conseil

Pour permettre aux utilisateurs de demander la révision et l’approbation d’une application à laquelle l’utilisateur n’est pas autorisé à donner son consentement, activez le flux de travail de consentement de l’administrateur. Par exemple, vous pourriez l’activer lorsque le consentement utilisateur a été désactivé ou lorsqu’une application demande des autorisations que l’utilisateur n’est pas autorisé à accorder.

Étapes suivantes