Configurar a forma como os utilizadores concedem consentimento às aplicações
Neste artigo, você aprenderá como configurar a maneira como os usuários consentem com aplicativos e como desabilitar todas as futuras operações de consentimento de usuário para aplicativos.
Para uma aplicação poder aceder aos dados da organização, o utilizador terá de conceder as permissões de aplicação necessárias para o fazer. Diferentes permissões permitem diferentes níveis de acesso. Por predefinição, todos os utilizadores estão autorizados a consentir às aplicações permissões que não requerem consentimento do administrador. Por exemplo, por padrão, um usuário pode consentir em permitir que um aplicativo acesse sua caixa de correio, mas não pode consentir em permitir que um aplicativo tenha acesso irrestrito para ler e gravar em todos os arquivos em sua organização.
Para reduzir o risco de aplicações maliciosas tentarem induzir os utilizadores a conceder-lhes acesso aos dados da sua organização, recomendamos que permita o consentimento do utilizador apenas para aplicações que tenham sido publicadas por um editor verificado.
Pré-requisitos
Para configurar o consentimento do usuário, você precisa:
- Uma conta de utilizador. Se ainda não tiver uma, pode criar uma conta gratuitamente.
- Uma função de Administrador Global.
Definir configurações de consentimento do usuário
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Para definir as definições de consentimento do utilizador através do centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como Administrador Global.
Navegue até Aplicativos de identidade>>Aplicativos>corporativos Consentimento e permissões>Configurações de consentimento do usuário.
Em Consentimento de utilizador para aplicações, selecione a definição de consentimento que pretende configurar para todos os utilizadores.
Selecione Guardar para guardar as definições.
Para escolher qual política de consentimento de aplicativo rege o consentimento do usuário para aplicativos, você pode usar o módulo Microsoft Graph PowerShell . Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns .
Conectar-se ao Microsoft Graph PowerShell
Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégios mínimos necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization. Tem de iniciar sessão como Administrador Global.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Desativar o consentimento do utilizador
Para desativar o consentimento do usuário, certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Permitir o consentimento do usuário sujeito a uma política de consentimento de aplicativo usando o PowerShell
Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body
Substitua {consent-policy-id} pelo ID da política que você deseja aplicar. Pode escolher uma política de consentimento de aplicação personalizada que criou ou pode escolher entre as seguintes políticas incorporadas:
| ID | Description |
|---|---|
| Microsoft-usuário-padrão-baixo | Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do utilizador apenas para aplicações de editores verificados e aplicações registadas no seu inquilino e apenas para permissões que classifique como de baixo impacto. (Lembre-se de classificar as permissões para selecionar quais permissões os usuários têm permissão para consentir.) |
| Microsoft-User-Default-Legacy | Permitir o consentimento do utilizador para aplicações Essa opção permite que todos os usuários consintam com qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo |
Por exemplo, para habilitar o consentimento do usuário sujeito à política microsoft-user-default-lowinterna, execute os seguintes comandos:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Use o Graph Explorer para escolher qual política de consentimento de aplicativo rege o consentimento do usuário para aplicativos. Tem de iniciar sessão como Administrador Global.
Para desativar o consentimento do usuário, certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Permitir o consentimento do usuário sujeito a uma política de consentimento de aplicativo usando o Microsoft Graph
Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Certifique-se de que as políticas de consentimento (PermissionGrantPoliciesAssigned) incluam outras políticas atuais ManagePermissionGrantsForOwnedResource.* , se houver, durante a atualização da coleção. Dessa forma, você pode manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento de recursos.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Substitua {consent-policy-id} pelo ID da política que você deseja aplicar. Pode escolher uma política de consentimento de aplicação personalizada que criou ou pode escolher entre as seguintes políticas incorporadas:
| ID | Description |
|---|---|
| Microsoft-usuário-padrão-baixo | Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do utilizador apenas para aplicações de editores verificados e aplicações registadas no seu inquilino e apenas para permissões que classifique como de baixo impacto. (Lembre-se de classificar as permissões para selecionar quais permissões os usuários têm permissão para consentir.) |
| Microsoft-User-Default-Legacy | Permitir o consentimento do utilizador para aplicações Essa opção permite que todos os usuários consintam com qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo |
Por exemplo, para habilitar o consentimento do usuário sujeito à política microsoft-user-default-lowinterna, use o seguinte comando PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Gorjeta
Para permitir que os usuários solicitem a revisão e aprovação de um aplicativo com o qual o usuário não tem permissão para consentir, habilite o fluxo de trabalho de consentimento do administrador. Por exemplo, você pode fazer isso quando o consentimento do usuário tiver sido desabilitado ou quando um aplicativo estiver solicitando permissões que o usuário não tem permissão para conceder.