Consentimento do usuário e do administrador no Microsoft Entra ID

  • Artigo

Neste artigo, você aprenderá os conceitos fundamentais e os cenários em torno de consentimento do usuário e do administrador no Microsoft Entra ID.

O consentimento é um processo em que os usuários podem conceder permissão para um aplicativo acessar um recurso protegido. Para indicar o nível de acesso necessário, um aplicativo solicita as permissões de API necessárias. Por exemplo, um aplicativo pode solicitar a permissão para ver o perfil de um usuário de entrada e ler o conteúdo da caixa de correio do usuário.

O consentimento pode ser iniciado de várias maneiras. Por exemplo, os usuários podem ser solicitados a dar consentimento ao tentarem entrar em um aplicativo pela primeira vez. Dependendo das permissões necessárias, alguns aplicativos podem exigir que um administrador seja aquele que concede consentimento.

Um usuário pode autorizar um aplicativo a acessar alguns dados no recurso protegido, enquanto age como esse usuário. As permissões que permitem esse tipo de acesso são chamadas de "permissões delegadas".

O consentimento do usuário é geralmente iniciado quando um usuário entra em um aplicativo. Depois que o usuário forneceu credenciais de entrada, ele é verificado para determinar se o consentimento já foi concedido. Se não houver nenhum registro anterior de consentimento do usuário ou administrador para as permissões necessárias, o usuário será direcionado para a janela de prompt de consentimento para conceder ao aplicativo as permissões solicitadas.

O consentimento do usuário por não administradores só é possível em organizações em que o consentimento do usuário é permitido para o aplicativo e para o conjunto de permissões que o aplicativo requer. Se o consentimento do usuário estiver desabilitado ou se os usuários não têm permissão para consentir as permissões solicitadas, eles não serão solicitados a dar consentimento. Se os usuários têm permissão para consentir e aceitam as permissões solicitadas, o consentimento é registrado e geralmente não precisam consentir novamente em futuras logins no mesmo aplicativo.

Os usuários estão no controle de seus dados. Um Administrador Privilegiado pode configurar se usuários não administradores têm permissão para conceder consentimento do usuário a um aplicativo. Essa configuração pode levar em conta aspectos do aplicativo e do editor do aplicativo e as permissões que estão sendo solicitadas.

Como administrador, você pode escolher se o consentimento do usuário é permitido. Se você optar por permitir o consentimento do usuário, também poderá escolher quais condições devem ser atendidas antes que um aplicativo possa ser consentido por um usuário.

Ao escolher quais políticas de consentimento de aplicativo se aplicam a todos os usuários, você pode definir limites sobre quando os usuários podem conceder consentimento a aplicativos e sobre quando eles serão obrigados a solicitar revisão e aprovação do administrador. O centro de administração do Microsoft Entra fornece as seguintes opções internas:

  • Desabilitar o consentimento do usuário. Os usuários não podem conceder permissões a aplicativos. Os usuários continuam a entrar em aplicativos que consentiram anteriormente em ou em aplicativos aos que os administradores concederam consentimento em seu nome, mas não terão permissão para consentir novas permissões para aplicativos por conta própria. Somente os usuários que receberam uma função de diretório que inclua a permissão para conceder o consentimento podem consentir em novos aplicativos.

  • Os usuários podem consentir com aplicativos de editores verificados ou de sua organização, mas somente para permissões que você selecionar. Todos os usuários só podem consentir com aplicativos que foram publicados por um editor verificado e aplicativos registrados em seu locatário. Os usuários podem consentir apenas com as permissões que você classificou como de baixo impacto. Você deve classificar as permissões para escolher quais delas os usuários são autorizados a consentir.

  • Os usuários podem consentir com todos os aplicativos. Esta opção permite que todos os usuários consintam com quaisquer permissões que não exigem consentimento administrativo, para qualquer aplicativo.

Para a maioria das organizações, uma das opções criadas será apropriada. Alguns clientes avançados podem querer mais controle sobre as condições que regem quando os usuários têm permissão para consentir. Esses clientes podem criar uma política de consentimento de aplicativo personalizada e configurar essas políticas para aplicar ao consentimento do usuário.

Durante o consentimento do administrador, um Administrador Privilegiado pode conceder a um aplicativo acesso em nome de outros usuários (geralmente, em nome de toda a organização). Além disso, durante o consentimento do administrador, os aplicativos ou serviços fornecem acesso direto a uma API, que pode ser usada pelo aplicativo se não houver nenhum usuário que tenha conexão. A função específica necessária para fornecer consentimento do administrador difere com base nas permissões solicitadas, que são descritas no artigoFornecer consentimento do administrador.

Quando sua organização compra uma licença ou assinatura para um novo aplicativo, talvez você queira configurar proativamente o aplicativo para que todos os usuários da organização possam usá-lo. Para evitar a necessidade de consentimento do usuário, um administrador pode conceder consentimento para o aplicativo em nome de todos os usuários na organização.

Depois que um administrador concede o consentimento do administrador em nome da organização, os usuários geralmente não são solicitados a dar consentimento para esse aplicativo. Em determinados casos, um usuário pode ser solicitado a dar consentimento mesmo depois que o consentimento foi concedido por um administrador. Um exemplo pode ser se um aplicativo solicita outra permissão que o administrador ainda não concedeu.

Conceder consentimento do administrador em nome de uma organização é uma operação confidencial, permitindo potencialmente que o editor do aplicativo acesse partes significativas dos dados da organização ou a permissão para fazer operações altamente privilegiadas. Exemplos de tais operações podem ser gerenciamento de funções, acesso total a todas as caixas de correio ou todos os sites, e personificação completa do usuário.

Antes de conceder o consentimento do administrador em todos os locatários, certifique-se e confiar no aplicativo e no editor do aplicativo, para o nível de acesso que você está concedendo. Se você não tiver certeza de que entendeu quem controla o aplicativo e por que o aplicativo está solicitando as permissões, não conceda o consentimento.

Para obter diretrizes passo a passo sobre se deve conceder o consentimento do administrador de um aplicativo, consulte Avaliando uma solicitação de consentimento do administrador em todo o locatário.

Para obter instruções passo a passo sobre como conceder consentimento de administrador para todo o locatário a partir do centro de administração do Microsoft Entra, consulte Conceder consentimento de administrador para todo o locatário a um aplicativo.

Em vez de conceder o consentimento para uma organização inteira, um administrador também pode usar a API do Microsoft Graph para conceder o consentimento a permissões delegadas em nome de um único usuário. Para obter um exemplo detalhado que usa o Microsoft Graph PowerShell, Consulte Conceder consentimento em nome de um único usuário usando o PowerShell.

Habilitar o acesso de usuário a um aplicativo

O acesso do usuários aos aplicativos ainda pode ser limitado mesmo quando o consentimento do administrador em todos os locatários tiver sido concedido. Configure as propriedades do aplicativo para exigir a atribuição de usuário para limitar o acesso do usuário ao aplicativo. Para obter mais informações, confira Métodos para atribuir usuários e grupos.

Para obter uma visão geral mais ampla, incluindo como lidar com outros cenários complexos, confira Usar o Microsoft Entra ID para o gerenciamento de acesso do aplicativo.

O fluxo de trabalho de consentimento do administrador fornece aos usuários uma maneira de solicitar consentimento do administrador para aplicativos quando eles não têm permissão para consentir por conta própria. Quando o fluxo de trabalho de consentimento do administrador está habilitado, os usuários são apresentados com uma janela "Aprovação necessária" para solicitar aprovação do administrador para acesso ao aplicativo.

Depois que os usuários enviam a solicitação de consentimento do administrador, os administradores que foram designados como revisadores recebem uma notificação. Os usuários são notificados após um revisador ter agido em sua solicitação. Para obter instruções passo a passo sobre como configurar o fluxo de trabalho de consentimento do administrador usando o centro de administração do Microsoft Entra, Confira Configurar o fluxo de trabalho de consentimento do administrador.

Depois que o fluxo de trabalho de consentimento do administrador estiver habilitado, os usuários poderão solicitar aprovação de administrador para um aplicativo com o qual eles não estão autorizados a consentir. Aqui estão as etapas no processo:

  1. Um usuário tenta entrar no aplicativo.
  2. Uma mensagem Aprovação necessária é exibida. O usuário digita uma justificativa para a necessidade de acesso ao aplicativo e, em seguida, seleciona "Solicitar aprovação."
  3. Uma mensagem Solicitação enviada confirma que a solicitação foi enviada ao administrador. Se o usuário enviar várias solicitações, apenas a primeira será encaminhada ao administrador.
  4. O usuário recebe uma notificação por email quando a solicitação é aprovada, negada ou bloqueada.

Próximas etapas