Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni
Questo articolo illustra come configurare il modo in cui gli utenti acconsentono alle applicazioni e come disabilitare tutte le future operazioni di consenso utente alle applicazioni.
Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere le autorizzazioni dell'applicazione a tale scopo. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono fornire il consenso alle applicazioni per le autorizzazioni che non richiedono il consenso dell'amministratore. Per impostazione predefinita, ad esempio, un utente può fornire il consenso in modo che un'app acceda alla cassetta postale ma non può consentire a un'app di accedere senza limitazioni per la lettura e la scrittura di tutti i file dell'organizzazione.
Per ridurre il rischio di applicazioni dannose che tentano di ingannare gli utenti per ottenere l'accesso ai dati dell'organizzazione, è consigliabile fornire il consenso utente solo alle applicazioni pubblicate da un editore verificato.
Prerequisiti
Per configurare il consenso utente, è necessario:
- Un account utente. Se non è già disponibile, è possibile creare gratuitamente un account.
- Ruolo global Amministrazione istrator.
Configurare le impostazioni di consenso utente
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per configurare le impostazioni di consenso utente tramite l'interfaccia di amministrazione di Microsoft Entra:
Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali>Consenti e autorizzazioni>Impostazioni di consenso utente.
In Consenso utente per le applicazioni selezionare l'impostazione di consenso che si vuole configurare per tutti gli utenti.
Per salvare le impostazioni, fare clic su Save (Salva).
Per scegliere i criteri di consenso delle app che regolano il consenso dell'utente per le applicazioni, è possibile usare il modulo Microsoft Graph PowerShell . I cmdlet usati qui sono inclusi nel modulo Microsoft.Graph.Identity.SignIns .
Connessione a Microsoft Graph PowerShell
Connessione a Microsoft Graph PowerShell usando l'autorizzazione con privilegi minimi necessari. Per leggere le impostazioni di consenso utente correnti, usare Policy.Read.All. Per leggere e modificare le impostazioni di consenso utente, usare Policy.ReadWrite.Authorization. È necessario accedere come global Amministrazione istrator.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Disabilitare il consenso dell'utente
Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri correnti ManagePermissionGrantsForOwnedResource.* se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Consenti il consenso utente soggetto a un criterio di consenso dell'app tramite PowerShell
Per consentire il consenso dell'utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri correnti ManagePermissionGrantsForOwnedResource.* se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Sostituire {consent-policy-id} con l'ID del criterio da applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:
| ID | Descrizione |
|---|---|
| microsoft-user-default-low | Consenti il consenso dell'utente per le app degli editori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso. |
| microsoft-user-default-legacy | Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione che non richiede il consenso amministratore per qualsiasi applicazione |
Ad esempio, per abilitare il consenso utente soggetto al criterio microsoft-user-default-lowpredefinito , eseguire i comandi seguenti:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Usare Graph Explorer per scegliere i criteri di consenso delle app che regolano il consenso dell'utente per le applicazioni. È necessario accedere come global Amministrazione istrator.
Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri correnti ManagePermissionGrantsForOwnedResource.* se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Consenti il consenso dell'utente soggetto a criteri di consenso dell'app tramite Microsoft Graph
Per consentire il consenso dell'utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri correnti ManagePermissionGrantsForOwnedResource.* se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Sostituire {consent-policy-id} con l'ID del criterio da applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:
| ID | Descrizione |
|---|---|
| microsoft-user-default-low | Consenti il consenso dell'utente per le app degli editori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso. |
| microsoft-user-default-legacy | Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione che non richiede il consenso amministratore per qualsiasi applicazione |
Ad esempio, per abilitare il consenso utente soggetto al criterio microsoft-user-default-lowpredefinito, usare il comando PATCH seguente:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Suggerimento
Per consentire agli utenti di richiedere la revisione e l'approvazione di un'applicazione a cui l'utente non è autorizzato a fornire il consenso, abilitare il flusso di lavoro di consenso amministratore. Ad esempio, è possibile eseguire questa operazione quando il consenso dell'utente è stato disabilitato o quando un'applicazione richiede autorizzazioni che l'utente non è autorizzato a concedere.