Compartilhar via

Um usuário vê uma solicitação de consentimento inesperada ao entrar em um aplicativo

  • Artigo

Muitos aplicativos que se integram ao Microsoft Entra ID exigem permissões para acessar outros recursos para serem executados. Quando esses recursos também são integrados ao Microsoft Entra ID, a permissão para acessá-los é solicitada usando a estrutura de consentimento do Microsoft Entra. Essas solicitações resultam em um prompt de consentimento que é exibida na primeira vez em que um aplicativo é usado o que, frequentemente, é uma operação única.

Em determinados cenários, prompts de consentimento adicionais podem aparecer quando um usuário tenta entrar. Neste artigo, diagnosticamos o motivo dos prompts de consentimento inesperados exibidos e como solucionar problemas.

Mais solicitações podem ser esperadas em vários cenários:

  • O aplicativo foi configurado para exigir atribuição. No momento, não há suporte para consentimento individual do usuário para aplicativos que exigem atribuição. Portanto, as permissões devem ser concedidas por um administrador para todo o diretório. Se você configurar um aplicativo para requerer atribuição, certifique-se de conceder também o consentimento do administrador a todos os locatários para que o usuário atribuído possa entrar.

  • O conjunto de permissões exigido pelo aplicativo foi alterado pelo desenvolvedor e precisa ser concedido novamente.

  • O usuário que originalmente consentiu com o aplicativo não era um administrador e agora um usuário diferente (não administrador) está usando o aplicativo pela primeira vez.

  • O usuário que originalmente consentiu para o aplicativo era um administrador, mas ele não consentiu em nome de toda a organização.

  • O aplicativo está usando consentimento incremental e dinâmico para solicitar mais permissões após o consentimento inicialmente concedido. O consentimento incremental e dinâmico é frequentemente usado quando recursos opcionais de um aplicativo exigem permissões além das exigidas para a funcionalidade de linha de base.

  • O consentimento foi revogado após ter sido inicialmente concedido.

  • O desenvolvedor configurou o aplicativo para solicitar uma solicitação de consentimento sempre que for usado (observação: esse comportamento não é uma melhor prática).

    Observação

    Seguindo as recomendações e as melhores práticas da Microsoft, muitas organizações desabilitaram ou limitaram a permissão dos usuários para conceder consentimento a aplicativos. Se um aplicativo forçar a concessão de consentimento sempre que os usuários entrarem, a maioria dos usuários será impedida de usar esses aplicativos, mesmo se um administrador conceder consentimento do administrador a todos os locatários. Se você encontrar um aplicativo que requer o consentimento do usuário mesmo após a concessão do consentimento do administrador, verifique com o editor do aplicativo se há uma configuração ou uma opção para parar de forçar o consentimento do usuário em cada entrada.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Etapas para solucionar problemas

Comparar permissões solicitadas e concedidas para os aplicativos

Para garantir que as permissões concedidas para o aplicativo estejam atualizadas, você pode comparar as permissões que estão sendo solicitadas pelo aplicativo com as permissões já concedidas no locatário.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
  3. Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da pesquisa.
  4. Em Segurança na navegação à esquerda, escolha Permissões
  5. Exibir a lista de permissões já concedidas da tabela na página Permissões
  6. Para exibir as permissões solicitadas, selecione Conceder consentimento do administrador. Isso abre um prompt de consentimento listando todas as permissões solicitadas. Não selecione Aceitar no prompt de consentimento, a menos que você tenha certeza de que deseja conceder o consentimento do administrador em todo o locatário.
  7. No prompt de consentimento, expanda as permissões listadas e compare com a tabela na página de permissões. Se houver algum presente no prompt de consentimento, mas não na página de permissões, essa permissão ainda não foi consentida. As permissões não solicitadas podem ser a causa de solicitações de consentimento inesperadas exibidas para o aplicativo.

Exibir configurações de atribuição de usuário

Se o aplicativo exigir atribuição, os usuários individuais não poderão consentir por si mesmos. Para verificar se a atribuição é necessária para o aplicativo, faça o seguinte:

  1. Na página do aplicativo, selecione Propriedades em Gerenciar.
  2. Verifique se a Atribuição necessária? está definida como Sim.
  3. Se definido como sim, um administrador deve consentir com as permissões em nome de toda a organização.

Determinar se um usuário individual pode consentir com um aplicativo pode ser configurado por cada organização e pode diferir de diretório para diretório. Mesmo que cada permissão não exija o consentimento do administrador por padrão, sua organização pode ter desabilitado totalmente o consentimento do usuário, impedindo que um usuário individual consenta por si mesmo para um aplicativo. Para exibir as configurações de consentimento do usuário da sua organização, faça o seguinte:

  1. Navegue até a página Aplicativos empresariais do centro de administração do Microsoft Entra.
  2. Em Segurança, escolha Consentimentos e permissões.
  3. Exibir as configurações de consentimento do usuário. Se definido como Não permitir o consentimento do usuário, os usuários nunca podem consentir em nome de si mesmos para um aplicativo.

Próximas etapas