Concedere e gestire il consenso per le autorizzazioni dell'app Teams

  • Articolo
  • Si applica a:
    Microsoft Teams

L'uso delle app Teams può offrire un'incredibile spinta alla produttività e alla collaborazione tra gli utenti dell'organizzazione. Le app di Teams portano le informazioni ai suggerimenti degli utenti, senza cambio di contesto, e li aiutano a svolgere un ottimo lavoro. Gli amministratori svolgono un ruolo fondamentale per fornire agli utenti il tipo appropriato di app, bilanciando al contempo le esigenze di sicurezza e conformità dell'azienda. Dopo aver deciso di approvare l'uso di un'app, è necessario assicurarsi che l'adozione dell'app sia fluida per gli utenti.

Una parte fondamentale è concedere il consenso alle autorizzazioni necessarie per il funzionamento di un'app. L'utente acconsente alle app approvate in modo che ogni utente dell'organizzazione non abbia la necessità di rivedere le autorizzazioni e il consenso singolarmente, quando avvia l'app. Alcuni esempi di autorizzazioni richieste dalle app includono la possibilità di leggere le informazioni archiviate in un team, leggere il profilo di un utente e inviare un messaggio di posta elettronica per conto degli utenti. Per altre informazioni sulle autorizzazioni e sul consenso, vedere Autorizzazioni e consenso nell'endpoint Microsoft Identity Platform.

Per salvaguardare le esigenze dell'azienda e rispettare i criteri, solo un amministratore globale può concedere il consenso alle autorizzazioni per le app per conto di tutti gli utenti dell'organizzazione. L'opzione per visualizzare i dettagli e il requisito del consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

Visualizzare le autorizzazioni di Microsoft Graph richieste da un'app

Nella pagina Gestisci app , la colonna Autorizzazioni indica se un'app dispone di autorizzazioni che richiedono il consenso. Selezionare il collegamento Visualizza dettagli per un'app per visualizzare le varie autorizzazioni e l'accesso alle informazioni dell'organizzazione richieste dall'app. L'opzione per visualizzare i dettagli e concedere il consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

La concessione del consenso a tali autorizzazioni consente a un'app di accedere alle informazioni dell'organizzazione. Esamina attentamente le autorizzazioni richieste dall'app prima di concedere il consenso. Per altre informazioni, vedere Autorizzazioni e consenso per le app di Teams. Solo gli amministratori globali possono concedere il consenso alle autorizzazioni Graph richieste da un'app. Gli amministratori di Teams possono visualizzare le autorizzazioni necessarie nell'interfaccia di amministrazione. L'opzione per visualizzare i dettagli e concedere il consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

Per visualizzare e concedere il consenso a tutti gli utenti dell'organizzazione, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Teams accedere alle app >di TeamsGestire le app.

  2. Cercare l'app richiesta e quindi eseguire una delle operazioni seguenti:

    • Selezionare il collegamento Visualizza dettagli nella colonna Autorizzazioni dell'app per aprire la scheda Autorizzazioni .
    • Seleziona il nome dell'app per passare alla pagina dei dettagli dell'app e seleziona la scheda Autorizzazioni .

  3. In Autorizzazioni a livello di organizzazione selezionare Rivedi autorizzazioni e consenso.

    Screenshot che mostra l'opzione per concedere il consenso per le autorizzazioni Graph richieste per un'app.

  4. Nella finestra di dialogo visualizzata esaminare le autorizzazioni richieste dall'app.

    Screenshot delle autorizzazioni richieste da un'app.

  5. Se accetti le autorizzazioni richieste dall'app, seleziona Accetta per concedere il consenso. Nella parte superiore della pagina viene temporaneamente visualizzato un banner per segnalare che le autorizzazioni richieste sono concesse per l'app. L'app ha ora accesso alle risorse specificate per tutti gli utenti dell'organizzazione per i quali è consentita l'app. Agli utenti non viene richiesto di rivedere le autorizzazioni.

Dopo aver concesso il consenso alle autorizzazioni di un'app, verrà visualizzato un messaggio nella scheda Autorizzazioni per informarti che il consenso è stato concesso. Se si vogliono visualizzare le autorizzazioni dell'app in Microsoft Entra ID, fare clic sul collegamento per aprire le autorizzazioni dell'app nell Microsoft Entra interfaccia di amministrazione.

Screenshot che mostra il collegamento a Microsoft Entra interfaccia di amministrazione dopo aver concesso il consenso alle autorizzazioni Graph.

Nota

Se la nuova versione di un'app richiede autorizzazioni aggiuntive rispetto alla versione precedente, è necessario concedere nuovamente il consenso all'app.

È possibile configurare le impostazioni del consenso utente per consentire agli utenti di acconsentire alle autorizzazioni selezionate (approccio consigliato) e usare app che richiedono solo queste autorizzazioni specifiche senza il consenso dell'amministratore.

Questo approccio è compatibile con la classificazione delle autorizzazioni nel portale Microsoft Entra ID. La classificazione consente agli amministratori di definire alcune autorizzazioni Delegate Graph come autorizzazioni a basso rischio all'interno dell'organizzazione. Gli amministratori decidono quali autorizzazioni a basso rischio si basano sulla postura di rischio dell'organizzazione. Come misura di sicurezza, non è possibile categorizzare le autorizzazioni delle applicazioni a basso rischio.

È possibile configurare le impostazioni del consenso utente in modo da consentire agli utenti di:

  • Non essere in grado di acconsentire ad alcuna app e quindi usare solo app approvate dall'amministratore.
  • Acconsentire alle autorizzazioni selezionate (approccio consigliato) e usare un'app che richiedeva solo queste autorizzazioni specifiche.

L'approccio consigliato è compatibile con la classificazione delle autorizzazioni. La classificazione consente agli amministratori di definire alcune o tutte le autorizzazioni Delegated Graph come autorizzazioni a basso rischio all'interno dell'organizzazione. Gli amministratori decidono le autorizzazioni a basso rischio in base alla postura di rischio dell'organizzazione. Come misura di sicurezza, non è possibile categorizzare le autorizzazioni delle applicazioni a basso rischio. Le autorizzazioni per le applicazioni richiedono il consenso solo di un amministratore. Per altre informazioni, vedere Configurare la modalità di consenso degli utenti alle applicazioni e come classificare le autorizzazioni come a basso o alto rischio.

Per eseguire questa configurazione, è necessario avere un ruolo Amministratore globale, Amministratore applicazione o Amministratore applicazione cloud dell'organizzazione.

Dopo aver concesso il consenso alle autorizzazioni di un'app, verrà visualizzato un messaggio nella scheda Autorizzazioni per informarti che il consenso è stato concesso.

Screenshot che mostra il collegamento a Entra dopo aver concesso il consenso alle autorizzazioni graph.

Se si vogliono visualizzare le autorizzazioni dell'app in MICROSOFT ENTRA ID, selezionare il collegamento per aprire le autorizzazioni dell'app nell Microsoft Entra interfaccia di amministrazione.

Screenshot che mostra l'interfaccia utente Entra usata per visualizzare e gestire il consenso concesso alle autorizzazioni di un'app.

Selezionare un'autorizzazione per saperne di più.

Screenshot che mostra i dettagli di un'autorizzazione selezionata.

Per revocare il consenso concesso in precedenza a un'app, seguire questa procedura:

  1. Nella scheda Autorizzazioni selezionare il collegamento Microsoft Entra ID per aprire le autorizzazioni dell'app nell'interfaccia di amministrazione di Microsoft Entra.

  2. Nella scheda Amministrazione consenso scegliere l'autorizzazione da revocare e quindi selezionare i puntini di sospensione ....

  3. Seleziona Revoca autorizzazione e quindi Sì, revoca nella finestra di dialogo di conferma.

    Screenshot che mostra l'opzione per revocare l'autorizzazione Graph di un'app dall'interfaccia di amministrazione di Microsoft Entra.

Dopo aver revocato il consenso ad alcune autorizzazioni, è possibile negare il consenso. Vedere Concedere il consenso di amministratore a livello di organizzazione per le autorizzazioni di un'app.

Gli sviluppatori aggiornano le app per aggiungere nuove funzionalità, migliorare le funzionalità esistenti o correggere bug. Alcuni aggiornamenti delle app potrebbero aggiungere nuove autorizzazioni che non favano parte della versione precedente dell'app. Se lo sviluppatore aggiunge nuove autorizzazioni che richiedono il consenso dell'amministratore, è necessario acconsentire alle nuove autorizzazioni. Il flusso di ricognizione è uguale a quello descritto in Concedere il consenso di amministratore a livello di organizzazione alle autorizzazioni di un'app.

Per informazioni sulle modifiche alle app che richiedono il consenso di un utente o di un amministratore, vedi le condizioni quando un aggiornamento dell'app richiede il consenso. A seconda della configurazione dell'organizzazione, gli utenti potrebbero essere in grado di concedere il consenso ad alcuni tipi di autorizzazioni.

Le autorizzazioni RSC consentono a un'app di accedere e modificare i dati di un team o di un utente. Le autorizzazioni RSC sono granulari e specifiche per il team di Teams in cui viene aggiunta un'app. Alcuni esempi di autorizzazioni RSC sono la possibilità di creare ed eliminare canali in un team, ottenere le impostazioni per un team e creare e rimuovere le schede dei canali.

Le autorizzazioni RSC sono definite nel manifesto dell'app e non nell Microsoft Entra interfaccia di amministrazione. I proprietari del team possono concedere il consenso per queste autorizzazioni quando aggiungono l'app a un team o a una chat. Per saperne di più, vedi Consenso specifico delle risorse (RSC).

Gli amministratori globali e gli amministratori di Teams possono visualizzare le autorizzazioni RSC per un'app nella scheda Autorizzazioni della pagina dei dettagli dell'app. Per visualizzare le autorizzazioni RSC per un'app, procedere come segue:

  1. Nell'interfaccia di amministrazione di Teams passare alle app >di TeamsGestire le app.

  2. Cercare l'app richiesta nel catalogo.

  3. Fare clic sul nome dell'app per passare alla pagina dei dettagli dell'app e quindi selezionare la scheda Autorizzazioni . In alternativa, selezionare il collegamento Visualizza dettagli dell'app.

  4. In Autorizzazioni per il consenso specifico delle risorse esaminare le autorizzazioni RSC richieste dall'app.

    Screenshot che mostra un esempio di autorizzazioni RSC di un'app nella scheda Autorizzazioni.

Gli amministratori possono configurare se gli utenti possono consentire o meno alle app di accedere ai dati dei gruppi o dei team. Gli amministratori globali possono modificare il consenso del proprietario del gruppo per le app che accedono alle impostazioni dei dati nell'ID Microsoft Entra, per consentire agli utenti di acconsentire alle autorizzazioni RSC.

Se non si consente il consenso del proprietario del gruppo per le app, gli utenti non possono acconsentire alle autorizzazioni RSC in un'app, se vengono usate le autorizzazioni RSC.