Implementare e configurare le impostazioni per il consenso

  • 1 minuto

È possibile integrare le applicazioni con Microsoft Identity Platform per consentire agli utenti di accedere con il proprio account aziendale o dell'istituto di istruzione e consultare i dati dell'organizzazione per offrire esperienze avanzate basate sui dati.

Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere all'applicazione le autorizzazioni in tal senso. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono concedere alle applicazioni le autorizzazioni per cui non è necessario il consenso dell'amministratore. Per impostazione predefinita, ad esempio, un utente può fornire il consenso perché un'app possa accedere alla sua cassetta postale. Non può però consentire a un'app di accedere senza limitazioni in lettura e scrittura a tutti i file dell'organizzazione.

Con la possibilità di concedere alle app l'accesso ai dati, gli utenti possono acquisire facilmente applicazioni utili ed essere produttivi. Tuttavia, in alcune situazioni questa configurazione può rappresentare un rischio se non viene monitorata e controllata con attenzione.

Importante

Per ridurre il rischio che applicazioni dannose tentino di ingannare gli utenti per ottenere l'accesso ai dati dell'organizzazione, è consigliabile consentire il consenso utente solo per le applicazioni pubblicate da un autore verificato.

I criteri di consenso delle app descrivono le condizioni da soddisfare perché un'app possa essere autorizzata. Questi criteri possono includere condizioni sull'app che richiede l'accesso e le autorizzazioni richieste dall'app.

Scegliendo i criteri di consenso delle app da applicare a tutti gli utenti, è possibile impostare limiti in merito a quando gli utenti finali sono autorizzati a concedere il consenso alle app e quando invece devono chiedere la revisione e l'approvazione da parte dell'amministratore.

  • Disabilitare il consenso utente - Gli utenti non possono concedere autorizzazioni alle applicazioni. Gli utenti possono continuare ad accedere alle app a cui hanno precedentemente fornito il consenso o che sono autorizzate dagli amministratori per loro conto, ma non potranno fornire autonomamente il consenso per nuove autorizzazioni o nuove app. Solo gli utenti a cui è stato concesso un ruolo della directory che include l'autorizzazione per fornire il consenso saranno in grado di autorizzare nuove app.

  • Gli utenti possono fornire il consenso alle app di autori verificati o dell'organizzazione, ma solo per autorizzazioni selezionate: tutti gli utenti possono fornire il consenso solo per le app pubblicate da un autore verificato e per le app registrate nel tenant. Gli utenti possono fornire il consenso solo per le autorizzazioni classificate come low impact. È necessario classificare le autorizzazioni per scegliere le autorizzazioni a cui gli utenti possono fornire il consenso.

  • Gli utenti possono fornire il consenso per tutte le app - Questa opzione consente a tutti gli utenti di fornire il consenso per qualsiasi autorizzazione che non richieda il consenso dell'amministratore, per qualsiasi applicazione.

  • Criteri di consenso app personalizzati: per altre opzioni sulle condizioni che controllano il consenso da parte degli utenti, è possibile creare criteri di consenso per le app personalizzati e configurarne l'applicazione per il consenso utente.

    Screenshot of the User consent settings dialog in the enterprise apps registration process.

Il consenso incrementale basato sul rischio consente di ridurre l'esposizione degli utenti ad app dannose che effettuano richieste di consenso illecite. Se Microsoft rileva una richiesta di consenso dell'utente finale rischiosa, verrà richiesto il passaggio al consenso dell'amministratore. Questa funzionalità è abilitata per impostazione predefinita, ma comporterà una modifica del comportamento solo quando è abilitato il consenso dell'utente finale.

Quando viene rilevata una situazione di rischio, nella richiesta di consenso viene visualizzato un messaggio che indica che è necessaria l'approvazione dell'amministratore. Se è abilitato il flusso di lavoro della richiesta di consenso dell'amministratore, l'utente può inviare la richiesta a un amministratore per un'ulteriore verifica direttamente dalla richiesta di consenso. In caso contrario, verrà visualizzato il messaggio seguente:

  • AADSTS90094: richiede l'autorizzazione per accedere alle risorse dell'organizzazione che solo un amministratore può concedere. Chiedi a un amministratore di concedere l'autorizzazione a questa app prima di poterla usare.

In questo caso verrà registrato anche un evento di controllo con categoria ApplicationManagement, tipo di attività Consent to application (Consenso per l'applicazione) e motivo dello stato Risky application detected (Applicazione rischiosa rilevata).

Importante

Gli amministratori devono valutare attentamente tutte le richieste di consenso prima di approvarne una, soprattutto quando Microsoft ha rilevato un rischio.