Implementare e configurare le impostazioni di consenso

  • 1 minuto

È possibile integrare le applicazioni con Microsoft Identity Platform per consentire agli utenti di accedere con il proprio account aziendale o dell'istituto di istruzione e accedere ai dati dell'organizzazione per offrire esperienze avanzate basate sui dati.

Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere le autorizzazioni dell'applicazione a tale scopo. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono fornire il consenso alle applicazioni per le autorizzazioni che non richiedono il consenso dell'amministratore. Ad esempio, per impostazione predefinita, un utente può fornire il consenso per consentire a un'app di accedere alla propria cassetta postale. Tuttavia, non possono fornire il consenso per consentire a un'app di accedere liberamente e senza restrizioni in lettura e scrittura a tutti i file dell'organizzazione.

Con la possibilità di concedere alle app l'accesso ai dati, gli utenti possono acquisire facilmente applicazioni utili ed essere produttivi. Tuttavia, in alcune situazioni questa configurazione può rappresentare un rischio se non viene monitorata e controllata attentamente.

Importante

Per ridurre il rischio di applicazioni dannose che tentano di ingannare gli utenti a concedere loro l'accesso ai dati dell'organizzazione, è consigliabile consentire il consenso dell'utente solo per le applicazioni pubblicate da un editore verificato.

I criteri di consenso delle app descrivono le condizioni che devono essere soddisfatte prima che un'app possa essere consensata. Questi criteri possono includere condizioni per l'app che richiede l'accesso e le autorizzazioni richieste dall'app.

Scegliendo quali criteri di consenso delle app si applicano a tutti gli utenti, è possibile impostare limiti su quando gli utenti finali possono concedere il consenso alle app e quando saranno necessari per richiedere la revisione e l'approvazione dell'amministratore.

  • Disabilitare il consenso utente : gli utenti non possono concedere autorizzazioni alle applicazioni. Gli utenti possono continuare ad accedere alle app a cui in precedenza avevano acconsentito o che hanno acconsentito agli amministratori per loro conto, ma non saranno autorizzati a fornire il consenso a nuove autorizzazioni o a nuove app autonomamente. Solo gli utenti a cui è stato concesso un ruolo della directory che include l'autorizzazione per concedere il consenso saranno in grado di fornire il consenso alle nuove app.

  • Gli utenti possono fornire il consenso alle app provenienti da server di pubblicazione verificatio dall'organizzazione, ma solo per le autorizzazioni scelte: tutti gli utenti possono fornire il consenso solo alle app pubblicate da un editore verificato e dalle app registrate nel tenant. Gli utenti possono fornire il consenso solo alle autorizzazioni classificate come low impact. È necessario classificare le autorizzazioni per scegliere le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso.

  • Gli utenti possono fornire il consenso a tutte le app : questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione che non richiede il consenso dell'amministratore per qualsiasi applicazione.

  • Criteri di consenso delle app personalizzati : per altre opzioni sulle condizioni che regolano quando gli utenti acconsentono, è possibile creare criteri di consenso delle app personalizzati e configurare tali criteri per l'applicazione del consenso utente.

    Screenshot della finestra di dialogo Impostazioni di consenso utente nel processo di registrazione delle app aziendali.

Il consenso incrementale basato sul rischio consente di ridurre l'esposizione degli utenti ad app dannose che effettuano richieste di consenso illecite. Se Microsoft rileva una richiesta di consenso dell'utente finale rischiosa, la richiesta richiederà invece un passaggio per il consenso dell'amministratore. Questa funzionalità è abilitata per impostazione predefinita, ma comporta solo una modifica del comportamento quando è abilitato il consenso dell'utente finale.

Quando viene rilevata una richiesta di consenso rischiosa, la richiesta di consenso visualizzerà un messaggio che indica che è necessaria l'approvazione dell'amministratore. Se il flusso di lavoro della richiesta di consenso amministratore è abilitato, l'utente può inviare la richiesta a un amministratore per ulteriori verifiche direttamente dalla richiesta di consenso. Se non è abilitata, verrà visualizzato il messaggio seguente:

  • AADSTS90094: è necessaria l'autorizzazione per accedere alle risorse dell'organizzazione che possono essere concesse solo da un amministratore. Chiedi a un amministratore di concedere l'autorizzazione a questa app prima di poterla usare.

In questo caso, un evento di controllo verrà registrato anche con una categoria di ApplicationManagement, un tipo di attività di consenso all'applicazione e un motivo di stato dell'applicazione rischiosa rilevata.

Importante

Gli amministratori devono valutare attentamente tutte le richieste di consenso prima di approvare una richiesta, soprattutto quando Microsoft ha rilevato rischi.