Consenso utente e amministratore in Microsoft Entra ID

  • Articolo

In questo articolo verranno illustrati i concetti e gli scenari fondamentali relativi al consenso utente e amministratore in Microsoft Entra ID.

Il consenso è un processo in cui gli utenti possono concedere l'autorizzazione per un'applicazione per accedere a una risorsa protetta. Per indicare il livello di accesso necessario, un'applicazione richiede le autorizzazioni API necessarie. Ad esempio, un'applicazione può richiedere l'autorizzazione per visualizzare il profilo di un utente connesso e leggere il contenuto della cassetta postale dell'utente.

Il consenso può essere avviato in vari modi. Ad esempio, gli utenti possono richiedere il consenso quando tentano di accedere a un'applicazione per la prima volta. A seconda delle autorizzazioni necessarie, alcune applicazioni potrebbero richiedere che un amministratore sia quello che concede il consenso.

Un utente può autorizzare un'applicazione ad accedere ad alcuni dati nella risorsa protetta, fungendo da tale utente. Le autorizzazioni che consentono questo tipo di accesso sono denominate "autorizzazioni delegate".

Il consenso dell'utente viene in genere avviato quando un utente accede a un'applicazione. Dopo che l'utente ha fornito le credenziali di accesso, viene controllato per determinare se il consenso è già stato concesso. Se non esiste alcun record precedente di consenso utente o amministratore per le autorizzazioni necessarie, l'utente viene indirizzato alla finestra di richiesta di consenso per concedere all'applicazione le autorizzazioni richieste.

Il consenso utente da parte di utenti non amministratori è possibile solo nelle organizzazioni in cui il consenso dell'utente è consentito per l'applicazione e per il set di autorizzazioni richieste dall'applicazione. Se il consenso dell'utente è disabilitato o se gli utenti non sono autorizzati a fornire il consenso per le autorizzazioni richieste, non verranno richiesti il consenso. Se gli utenti sono autorizzati a fornire il consenso e accettano le autorizzazioni richieste, il consenso viene registrato e in genere non devono fornire di nuovo il consenso per gli accessi futuri alla stessa applicazione.

Gli utenti hanno il controllo dei dati. Un Amministrazione istrator con privilegi può configurare se gli utenti non amministratori possono concedere il consenso dell'utente a un'applicazione. Questa impostazione può tenere conto degli aspetti dell'applicazione e dell'editore dell'applicazione e delle autorizzazioni richieste.

In qualità di amministratore, è possibile scegliere se è consentito il consenso dell'utente. Se si sceglie di consentire il consenso dell'utente, è anche possibile scegliere quali condizioni devono essere soddisfatte prima che un'applicazione possa essere accettata da un utente.

Scegliendo quali criteri di consenso dell'applicazione si applicano a tutti gli utenti, è possibile impostare limiti su quando gli utenti possono concedere il consenso alle applicazioni e su quando saranno necessari per richiedere la revisione e l'approvazione dell'amministratore. L'interfaccia di amministrazione di Microsoft Entra offre le opzioni predefinite seguenti:

  • È possibile disabilitare il consenso dell'utente. Gli utenti non possono concedere autorizzazioni alle applicazioni. Gli utenti continuano ad accedere alle applicazioni che in precedenza hanno acconsentito a o alle applicazioni a cui gli amministratori hanno concesso il consenso per loro conto, ma non potranno concedere il consenso alle nuove autorizzazioni per le applicazioni autonomamente. Solo gli utenti a cui è stato concesso un ruolo della directory che include l'autorizzazione per concedere il consenso possono fornire il consenso alle nuove applicazioni.

  • Gli utenti possono fornire il consenso alle applicazioni provenienti da editori verificati o dall'organizzazione, ma solo per le autorizzazioni selezionate. Tutti gli utenti possono fornire il consenso solo alle applicazioni pubblicate da un editore verificato e dalle applicazioni registrate nel tenant. Gli utenti possono fornire il consenso solo alle autorizzazioni classificate come a basso impatto. È necessario classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso.

  • Gli utenti possono fornire il consenso a tutte le applicazioni. Questa opzione consente a tutti gli utenti di fornire il consenso a tutte le autorizzazioni che non richiedono il consenso dell'amministratore per qualsiasi applicazione.

Per la maggior parte delle organizzazioni, una delle opzioni predefinite sarà appropriata. Alcuni clienti avanzati potrebbero voler avere un maggiore controllo sulle condizioni che regolano quando gli utenti sono autorizzati a fornire il consenso. Questi clienti possono creare criteri di consenso delle app personalizzati e configurare tali criteri da applicare al consenso dell'utente.

Durante il consenso dell'amministratore, un Amministrazione istrator con privilegi può concedere a un'applicazione l'accesso per conto di altri utenti (in genere, per conto dell'intera organizzazione). Durante il consenso dell'amministratore, le applicazioni o i servizi forniscono l'accesso diretto a un'API, che può essere usata dall'applicazione se non è presente alcun utente connesso. Il ruolo specifico necessario per concedere il consenso amministratore è diverso in base alle autorizzazioni richieste, descritte nell'articolo concedere il consenso amministratore.

Quando l'organizzazione acquista una licenza o una sottoscrizione per una nuova applicazione, è possibile configurare l'applicazione in modo proattivo in modo che tutti gli utenti dell'organizzazione possano usarla. Per evitare la necessità di consenso dell'utente, un amministratore può concedere il consenso per l'applicazione per conto di tutti gli utenti dell'organizzazione.

Dopo che un amministratore concede il consenso amministratore per conto dell'organizzazione, gli utenti in genere non richiedono il consenso per tale applicazione. In alcuni casi, un utente potrebbe richiedere il consenso anche dopo che è stato concesso il consenso da un amministratore. Un esempio potrebbe essere se un'applicazione richiede un'altra autorizzazione che l'amministratore non ha già concesso.

La concessione del consenso dell'amministratore per conto di un'organizzazione è un'operazione sensibile, consentendo potenzialmente all'editore dell'applicazione l'accesso a parti significative dei dati dell'organizzazione o l'autorizzazione per eseguire operazioni con privilegi elevati. Esempi di tali operazioni possono essere la gestione dei ruoli, l'accesso completo a tutte le cassette postali o a tutti i siti e la rappresentazione completa dell'utente.

Prima di concedere il consenso amministratore a livello di tenant, assicurarsi di considerare attendibile l'applicazione e l'autore dell'applicazione per il livello di accesso concesso. Se non si è certi di sapere chi controlla l'applicazione e perché l'applicazione richiede le autorizzazioni, non concedere il consenso.

Per istruzioni dettagliate su se concedere il consenso di un amministratore dell'applicazione, vedere Valutazione di una richiesta di consenso amministratore a livello di tenant.

Per istruzioni dettagliate per concedere il consenso amministratore a livello di tenant dall'interfaccia di amministrazione di Microsoft Entra, vedere Concedere il consenso amministratore a livello di tenant a un'applicazione.

Invece di concedere il consenso per un'intera organizzazione, un amministratore può anche usare l'API Microsoft Graph per concedere il consenso alle autorizzazioni delegate per conto di un singolo utente. Per un esempio dettagliato che usa Microsoft Graph PowerShell, vedere Concedere il consenso per conto di un singolo utente tramite PowerShell.

Limitare l'accesso utente a un'applicazione

L'accesso utente alle applicazioni può comunque essere limitato, anche quando è stato concesso il consenso amministratore a livello di tenant. Configurare le proprietà dell'applicazione per richiedere l'assegnazione dell'utente per limitare l'accesso utente all'applicazione. Per altre informazioni, vedere Metodi per l'assegnazione di utenti e gruppi.

Per una panoramica più ampia, tra cui come gestire altri scenari complessi, vedere Use Microsoft Entra ID for application access management .For a broad overview, including how to handle other complex scenarios, see Use Microsoft Entra ID for application access management.For a broad overview, including how to handle other complex scenarios, see Use Microsoft Entra ID for application access management.

Il flusso di lavoro di consenso amministratore offre agli utenti un modo per richiedere il consenso amministratore per le applicazioni quando non sono autorizzati a fornire il consenso. Quando il flusso di lavoro del consenso amministratore è abilitato, agli utenti viene visualizzata una finestra "Approvazione necessaria" per richiedere l'approvazione dell'amministratore per l'accesso all'applicazione.

Dopo che gli utenti inviano la richiesta di consenso amministratore, gli amministratori designati come revisori ricevono una notifica. Gli utenti vengono informati dopo che un revisore ha agito sulla richiesta. Per istruzioni dettagliate per configurare il flusso di lavoro di consenso amministratore tramite l'interfaccia di amministrazione di Microsoft Entra, vedere Configurare il flusso di lavoro di consenso amministratore.

Dopo aver abilitato il flusso di lavoro del consenso amministratore, gli utenti possono richiedere l'approvazione dell'amministratore per un'applicazione a cui non sono autorizzati a fornire il consenso. Ecco i passaggi del processo:

  1. Un utente tenta di accedere all'applicazione.
  2. Viene visualizzato un messaggio Approvazione richiesta . L'utente digita una giustificazione per la necessità di accedere all'applicazione e quindi seleziona "Richiedi approvazione".
  3. Un messaggio Di richiesta inviata conferma che la richiesta è stata inviata all'amministratore. Se l'utente invia diverse richieste, viene inviata solo la prima richiesta all'amministratore.
  4. L'utente riceve una notifica tramite posta elettronica quando la richiesta viene approvata, negata o bloccata.

Passaggi successivi