Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni

In questo articolo si apprenderà come configurare il modo in cui gli utenti acconsentono alle applicazioni e come disabilitare tutte le operazioni di consenso utente future alle applicazioni.

Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere le autorizzazioni dell'applicazione a tale scopo. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono fornire il consenso alle applicazioni per le autorizzazioni che non richiedono il consenso dell'amministratore. Per impostazione predefinita, ad esempio, un utente può fornire il consenso in modo che un'app acceda alla cassetta postale ma non può consentire a un'app di accedere senza limitazioni per la lettura e la scrittura di tutti i file dell'organizzazione.

Per ridurre il rischio di applicazioni dannose che tentano di ingannare gli utenti per ottenere l'accesso ai dati dell'organizzazione, è consigliabile fornire il consenso utente solo alle applicazioni pubblicate da un editore verificato.

Prerequisiti

Per configurare il consenso dell'utente, è necessario:

  • Un account utente. Se non è già disponibile, è possibile creare gratuitamente un account.
  • Ruolo Amministratore globale o Amministratore con privilegi.

Per configurare le impostazioni di consenso utente tramite il portale di Azure:

  1. Accedere al portale di Azure come amministratore globale.

  2. Selezionare Azure Active Directory>Applicazioni aziendali>Consenso e autorizzazioni>Impostazioni per il consenso utente.

  3. In Consenso utente per le applicazioni selezionare l'impostazione di consenso da configurare per tutti gli utenti.

  4. Per salvare le impostazioni, fare clic su Save (Salva).

Screenshot del riquadro

Per scegliere i criteri di consenso delle app che regolano il consenso utente per le applicazioni, è possibile usare il modulo Microsoft Graph PowerShell . I cmdlet usati qui sono inclusi nel modulo Microsoft.Graph.Identity.SignIns .

Connettersi a Microsoft Graph PowerShell

Connettersi a Microsoft Graph PowerShell usando l'autorizzazione con privilegi minimi necessari. Per leggere le impostazioni di consenso utente correnti, usare Policy.Read.All. Per leggere e modificare le impostazioni di consenso utente, usare Policy.ReadWrite.Authorization.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Per disabilitare il consenso dell'utente, impostare i criteri di consenso che regolano il consenso dell'utente su vuoto:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Per consentire il consenso dell'utente, scegliere quali criteri di consenso dell'app devono gestire l'autorizzazione degli utenti per concedere il consenso alle app:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Sostituire {consent-policy-id} con l'ID del criterio da applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:

ID Descrizione
microsoft-user-default-low Consenti il consenso utente per le app provenienti da autori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di editori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso.
microsoft-user-default-legacy Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione che non richiede il consenso amministratore per qualsiasi applicazione

Ad esempio, per abilitare il consenso utente soggetto ai criteri microsoft-user-default-lowpredefiniti, eseguire i comandi seguenti:

Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Usare Graph Explorer per scegliere i criteri di consenso delle app che regolano il consenso utente per le applicazioni.

Per disabilitare il consenso dell'utente, impostare i criteri di consenso che regolano il consenso dell'utente su vuoto:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": []
   }
}

Per consentire il consenso dell'utente, scegliere quali criteri di consenso dell'app devono gestire l'autorizzazione degli utenti per concedere il consenso alle app:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
   "defaultUserRolePermissions": {
      "permissionGrantPoliciesAssigned": ["ManagePermissionGrantsForSelf.microsoft-user-default-legacy"]
   }
}

Sostituire {consent-policy-id} con l'ID del criterio da applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:

ID Descrizione
microsoft-user-default-low Consenti il consenso utente per le app provenienti da autori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di editori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso.
microsoft-user-default-legacy Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione che non richiede il consenso amministratore per qualsiasi applicazione

Ad esempio, per abilitare il consenso utente soggetto al criterio microsoft-user-default-lowpredefinito , usare il comando PATCH seguente:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low"
        ]
    }
}

Suggerimento

Per consentire agli utenti di richiedere la revisione e l'approvazione di un'applicazione a cui l'utente non è autorizzato a fornire il consenso, abilitare il flusso di lavoro di consenso amministratore. Ad esempio, è possibile eseguire questa operazione quando il consenso dell'utente è stato disabilitato o quando un'applicazione richiede autorizzazioni che l'utente non è autorizzato a concedere.

Passaggi successivi