Configurar como os usuários dão consentimento para aplicativos
Neste artigo, você aprenderá a configurar a maneira como os usuários consentem com aplicativos e como desabilitar todas as operações futuras de consentimento do usuário para aplicativos.
Antes que um aplicativo possa acessar os dados da sua organização, um usuário precisa conceder permissões de aplicativo para isso. Permissões diferentes permitem diferentes níveis de acesso. Por padrão, todos os usuários têm permissão para consentir nos aplicativos em relação a permissões que não exijam o consentimento do administrador. Por exemplo, por padrão, um usuário pode permitir que um aplicativo acesse sua caixa de correio, mas não pode permitir que um aplicativo tenha acesso irrestrito para ler e gravar em todos os arquivos em sua organização.
Para reduzir o risco de aplicativos mal-intencionados tentarem induzir os usuários a conceder acesso aos dados da sua organização, recomendamos que você permita o consentimento do usuário apenas em aplicativos que foram publicados por um fornecedor verificado.
Observação
Os aplicativos que exigem que os usuários sejam atribuídos ao aplicativo devem ter suas permissões consentidas por um administrador, mesmo que as políticas de consentimento do usuário para o seu diretório permitam que um usuário consinta em seu próprio nome.
Pré-requisitos
Para configurar o consentimento do usuário, você precisa de:
- Uma conta de usuário. Se você ainda não tem uma, é possível criar uma conta gratuita.
- Uma função de Administrador de funções com privilégios.
Configurar as configurações de consentimento do usuário
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Para definir as configurações do consentimento do usuário por meio do centro de administração do Microsoft Entra:
Entre no Centro de administração do Microsoft Entra como um Administrador de funções com privilégios.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.
Em Consentimento do usuário para aplicativos, selecione a configuração de consentimento que você deseja configurar para todos os usuários.
Selecione Salvar para salvar suas configurações.
Para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos, é possível usar o módulo Microsoft Graph PowerShell. Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns.
Conectar-se ao Microsoft Graph PowerShell
Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégio mínimo necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization. Você precisa entrar como Administrador de funções com privilégios.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Desabilitar o consentimento do usuário
Para desabilitar o consentimento do usuário, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Permitir o consentimento do usuário sujeito a uma política de consentimento do aplicativo usando o PowerShell
Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Substitua {consent-policy-id} pela ID da política que deseja aplicar. É possível escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:
| ID | Descrição |
|---|---|
| microsoft-user-default-low | Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do usuário somente para aplicativos de editores verificados e aplicativos que são registrados no seu locatário e somente para permissões que você classifica como baixo impacto. (Lembre-se de classificar permissões para selecionar quais permissões os usuários têm permissão para consentir.) |
| microsoft-user-default-legacy | Permitir o consentimento do usuário para aplicativos Essa opção permite que todos os usuários consintam qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo |
Por exemplo, para habilitar o consentimento do usuário sujeito à política interna microsoft-user-default-low, execute os seguintes comandos:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Use o Graph Explorer para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos. Você precisa entrar como Administrador de funções com privilégios.
Para desabilitar o consentimento do usuário, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Permitir o consentimento do usuário sujeito a uma política de consentimento do aplicativo usando o Microsoft Graph
Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Substitua {consent-policy-id} pela ID da política que deseja aplicar. É possível escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:
| ID | Descrição |
|---|---|
| microsoft-user-default-low | Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do usuário somente para aplicativos de editores verificados e aplicativos que são registrados no seu locatário e somente para permissões que você classifica como baixo impacto. (Lembre-se de classificar permissões para selecionar quais permissões os usuários têm permissão para consentir.) |
| microsoft-user-default-legacy | Permitir o consentimento do usuário para aplicativos Essa opção permite que todos os usuários consintam qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo |
Por exemplo, para habilitar o consentimento do usuário sujeito à política interna microsoft-user-default-low, use o seguinte comando PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Dica
Para permitir que os usuários solicitem a revisão e a aprovação de um aplicativo do administrador que o usuário não tem permissão para consentir, habilita o fluxo de trabalho de consentimento do administrador. Por exemplo, é possível fazer isso quando o consentimento do usuário tiver sido desabilitado ou quando um aplicativo estiver solicitando permissões que o usuário não tem permissão para conceder.