Compartilhar via


Configurar as classificações de permissão

Neste artigo, você saberá como configurar classificações de permissões no Microsoft Entra ID. As classificações de permissão permitem que você identifique o impacto que as diferentes permissões têm conforme as políticas e avaliações de risco na sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões no qual os usuários têm permissão para consentir.

Há suporte para três classificações de permissão: "Baixa", "Média" (versão prévia) e "Alta" (versão prévia). Atualmente, somente as permissões delegadas que não exigem consentimento do administrador podem ser classificadas.

As permissões mínimas necessárias para a entrada básica são openid, profile, email e offline_access, que são todas as permissões delegadas no Microsoft Graph. Com essas permissões, um aplicativo pode ler detalhes do perfil do usuário conectado e manter esse acesso mesmo quando o usuário não estiver mais usando o aplicativo.

Pré-requisitos

Para configurar classificações de permissão será necessário:

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
  • Uma das seguintes funções: Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem

Gerenciar classificações de permissão

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para classificar permissões usando o centro de administração do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos o Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Classificações de permissões.
  3. Escolha a guia para a classificação de permissões que você deseja atualizar.
  4. Escolha Adicionar permissões para classificar outra permissão.
  5. Selecione a API e, em seguida, uma ou mais permissões delegadas.

Neste exemplo, classificamos o conjunto mínimo de permissões obrigatórias para o logon único:

Classificações de permissão

Você pode usar o PowerShell do Azure AD mais recente para classificar permissões. As classificações de permissão são configuradas no objeto ServicePrincipal da API que publica as permissões.

Execute o comando a seguir para se conectar ao PowerShell do Azure AD. Para consentir os escopos necessários, entre como pelo menos um Administrador de Aplicativos na Nuvem.

Connect-AzureAD

Listar as classificações de permissão atuais usando o PowerShell do Azure AD

  1. Recupere o objeto ServicePrincipal para a API. Aqui, recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Leia as classificações de permissão delegadas para a API:

    Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
    

Classificar uma permissão como de “Baixo impacto” usando o Azure AD PowerShell

  1. Recupere o objeto ServicePrincipal para a API. Aqui, recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Localize a permissão delegada que você deseja classificar:

    $delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }
    
  3. Defina a classificação de permissão usando o nome e a ID da permissão:

    Add-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId `
       -PermissionId $delegatedPermission.Id `
       -PermissionName $delegatedPermission.Value `
       -Classification "low"
    

Remover uma classificação de permissão delegada usando o PowerShell do Azure AD

  1. Recupere o objeto ServicePrincipal para a API. Aqui, recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Localize a classificação de permissão delegada que você deseja remover:

    $classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}
    
  3. Exclua a classificação de permissão:

    Remove-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId `
        -Id $classificationToRemove.Id
    

Você pode usar o PowerShell do Microsoft Graph para classificar permissões. As classificações de permissão são configuradas no objeto ServicePrincipal da API que publica as permissões.

Execute o comando a seguir para se conectar ao PowerShell do Microsoft Graph. Para consentir os escopos necessários, entre como pelo menos um Administrador de Aplicativos na Nuvem.

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant".

Listar as classificações de permissão atuais de uma API usando o PowerShell do Microsoft Graph

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Leia as classificações de permissão delegadas para a API:

    Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    

Classificar uma permissão como de “Baixo impacto” usando o Microsoft Graph PowerShell

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Localize a permissão delegada que você deseja classificar:

    $delegatedPermission = $api.Oauth2PermissionScopes | Where-Object {$_.Value -eq "openid"} 
    
  3. Defina a classificação de permissão:

    $params = @{ 
       PermissionId = $delegatedPermission.Id 
       PermissionName = $delegatedPermission.Value 
       Classification = "Low"
    } 
    
    New-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id -BodyParameter $params 
    

Remover uma classificação de permissão delegada usando o PowerShell do Microsoft Graph

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Localize a classificação de permissão delegada que você deseja remover:

    $classifications = Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "openid"}
    
  3. Exclua a classificação de permissão:

Remove-MgServicePrincipalDelegatedPermissionClassification -DelegatedPermissionClassificationId $classificationToRemove.Id   -ServicePrincipalId $api.id 

Para configurar classificações de permissões em um aplicativo empresarial, entre no Graph Explorer como pelo menos um Administrador de Aplicativos na Nuvem.

Você precisa consentir com a permissão Policy.ReadWrite.PermissionGrant.

Execute as consultas a seguir no Explorador do Microsoft Graph para adicionar uma classificação de permissões delegadas para um aplicativo.

Listar as classificações de permissão atuais de uma API usando a API do Microsoft Graph

Listar as classificações de permissão atuais para uma API usando a seguinte chamada da API do Microsoft Graph.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications

Classificar uma permissão como de “Baixo impacto” usando a API do Microsoft Graph

No exemplo a seguir, classificamos a permissão como "baixo impacto".

Adicione uma classificação de permissão delegada para uma API usando a seguinte chamada de API do Microsoft Graph.

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Content-type: application/json

{
   "permissionId": "b4e74841-8e56-480b-be8b-910348b18b4c",
   "classification": "low"
}

Remover uma classificação de permissão delegada usando a API do Microsoft Graph

Execute as consultas a seguir no Explorador do Microsoft Graph para adicionar uma classificação de permissões delegadas para uma API.

DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications/QUjntFaOC0i-i5EDSLGLTAE

Próximas etapas