Conceder y administrar el consentimiento para los permisos de las aplicaciones de Teams

El uso de las aplicaciones de Teams puede aumentar enormemente la productividad y la colaboración entre los usuarios de su organización. Las aplicaciones de Teams ofrecen información sobre las sugerencias de los usuarios, sin cambiar de contexto, y les ayudan a hacer un buen trabajo. Como administrador, desempeña un papel fundamental para ofrecer a los usuarios el tipo adecuado de aplicaciones y, al mismo tiempo, equilibrar la necesidad de su empresa de seguridad y cumplimiento normativo. Una vez que decida aprobar el uso de una aplicación, debe asegurarse de que la adopción de la aplicación sea fluida para los usuarios.

Una parte crucial es conceder el consentimiento a los permisos que una aplicación necesita para funcionar. Consiente las aplicaciones aprobadas para que cada usuario de su organización no tenga que revisar los permisos ni dar su consentimiento individualmente al iniciar la aplicación. Algunos ejemplos de permisos solicitados por las aplicaciones incluyen la capacidad de leer la información almacenada en un equipo, leer el perfil de un usuario y enviar un correo electrónico en nombre de los usuarios. Para obtener más información sobre los permisos y el consentimiento, consulte Permisos y consentimiento en el punto de conexión de Plataforma de identidad de Microsoft.

Para proteger las necesidades de la empresa y cumplir sus directivas, solo los administradores globales pueden dar su consentimiento a los permisos de las aplicaciones en nombre de todos los usuarios de la organización. La opción de ver detalles y requisitos para conceder consentimiento se aplica a las aplicaciones personalizadas y de terceros, y no a las aplicaciones proporcionadas por Microsoft.

Ver permisos de Microsoft Graph solicitados por una aplicación

En la página Administrar aplicaciones , la columna Permisos indica si una aplicación tiene permisos que necesitan consentimiento. Seleccione el vínculo Ver detalles de una aplicación para ver los distintos permisos y el acceso a la información de la organización que solicita la aplicación. La opción de ver detalles y conceder consentimiento se aplica a las aplicaciones personalizadas y de terceros, y no a las aplicaciones proporcionadas por Microsoft.

Conceder el consentimiento a estos permisos permite a una aplicación acceder a la información de su organización. Revise cuidadosamente los permisos solicitados por la aplicación antes de otorgar el consentimiento. Para obtener más información, consulte Permisos y consentimiento de las aplicaciones de Teams. Solo los administradores globales pueden dar su consentimiento a los permisos de Graph que solicita una aplicación. Los administradores de Teams pueden ver los permisos necesarios en el centro de administración. La opción de ver detalles y conceder consentimiento se aplica a las aplicaciones personalizadas y de terceros, y no a las aplicaciones proporcionadas por Microsoft.

Para ver y conceder consentimiento a todos los usuarios de la organización, siga estos pasos:

  1. En el Centro de administración de Teams, acceda a Aplicaciones >de TeamsAdministrar aplicaciones.

  2. Busca la aplicación necesaria y, a continuación, realiza una de las siguientes acciones:

    • Seleccione el vínculo Ver detalles en la columna Permisos de la aplicación para abrir la pestaña Permisos .
    • Selecciona el nombre de la aplicación para ir a la página de detalles de la aplicación y selecciona la pestaña Permisos .
  3. En Permisos de toda la organización, seleccione Revisar permisos y consentimiento.

    Captura de pantalla que muestra la opción de conceder consentimiento a los permisos de Graph solicitados para una aplicación.

  4. En el cuadro de diálogo que se abre, revise los permisos solicitados por la aplicación.

    Captura de pantalla que muestra el cuadro de diálogo que acepta el consentimiento para los permisos solicitados por una aplicación.

  5. Si estás de acuerdo con los permisos solicitados por la aplicación, selecciona Aceptar para conceder consentimiento. Una confirmación en la pestaña de permisos te permite saber que el consentimiento está disponible para la aplicación. La aplicación ahora tiene acceso a los recursos especificados para todos los usuarios de la organización para los que se permite la aplicación. Ahora no se pide a los usuarios que revisen los permisos.

    Captura de pantalla que muestra una confirmación después de conceder el consentimiento a los permisos de la aplicación.

Nota

En la nueva versión de la aplicación, si el desarrollador agrega permisos adicionales que requieren consentimiento de administrador, los usuarios no podrán usar la aplicación hasta que conceda su consentimiento a la aplicación actualizada.

Puede configurar la configuración de consentimiento de usuario para permitir que los usuarios consienten los permisos seleccionados (enfoque recomendado) y usar aplicaciones que solo requieran estos permisos específicos sin necesidad de consentimiento de administrador.

Este enfoque funciona junto con la clasificación de permisos en Microsoft Entra ID portal. La clasificación permite a los administradores definir algunos permisos de Gráfico delegado como permisos de bajo riesgo dentro de su organización. Los administradores deciden qué permisos de bajo riesgo dependen de la postura de riesgo de su organización. Como medida de seguridad, no puede clasificar permisos de aplicación de bajo riesgo.

Puede configurar las opciones de consentimiento de usuario de manera que los usuarios puedan:

  • No podrá dar su consentimiento a ninguna aplicación y, por lo tanto, usar solo las aplicaciones aprobadas por el administrador.
  • Consiente los permisos seleccionados (enfoque recomendado) y use aplicaciones que solo requieran estos permisos específicos.

El enfoque recomendado funciona conjuntamente con la clasificación de permisos. La clasificación permite a los administradores definir algunos o todos los permisos de Gráfico delegado como permisos de bajo riesgo dentro de su organización. Los administradores deciden permisos de bajo riesgo en función de la postura de riesgo de su organización. Como medida de seguridad, no puede clasificar permisos de aplicación de bajo riesgo. Los permisos de aplicación requieren solo el consentimiento de un administrador. Para obtener más información, vea Configurar la forma en que los usuarios aceptan las aplicaciones y cómo clasificar los permisos como de bajo o alto riesgo.

Los roles que pueden llevar a cabo esta configuración son Administrador global, Administrador de aplicaciones o Administrador de aplicaciones en la nube. Se recomienda usar un rol de privilegio inferior, como Administrador de aplicaciones.

Después de conceder el consentimiento a los permisos de una aplicación, una confirmación en la pestaña Permisos para informarte de que el consentimiento está disponible para los permisos de la aplicación. Si quieres ver los detalles de cada permiso de la aplicación, sigue estos pasos:

  1. Inicia sesión en Centro de administración Microsoft Entra.

  2. Seleccione Aplicacionesempresariales de aplicaciones>.

  3. Seleccione una aplicación para ver sus permisos. Seleccione Permisos en la página de aplicaciones.

    Captura de pantalla que muestra la interfaz de usuario de Entra usada para ver y administrar el consentimiento concedido a los permisos de una aplicación.

  4. Seleccione un permiso para obtener más detalles sobre él.

    Captura de pantalla que muestra los detalles de un permiso seleccionado.

Para revocar el consentimiento concedido anteriormente a una aplicación, siga estos pasos:

  1. En la pestaña Permisos, seleccione el vínculo Microsoft Entra ID para abrir los permisos de la aplicación en Centro de administración Microsoft Entra.

  2. En la pestaña Administración consentimiento, elija el permiso que desea revocar y, a continuación, seleccione los puntos suspensivos ....

  3. Seleccione Revocar permiso y, a continuación , seleccione Sí, revocar en el cuadro de diálogo de confirmación.

    Captura de pantalla que muestra la opción de revocar un permiso de Graph de una aplicación de la Centro de administración Microsoft Entra.

Después de revocar el consentimiento a algunos permisos, puede regrantar el consentimiento. Consulte Conceder consentimiento de administrador para toda la organización a los permisos de una aplicación.

Los desarrolladores actualizan aplicaciones para agregar nuevas funciones, mejorar la funcionalidad existente o corregir errores. Algunas actualizaciones de aplicaciones pueden agregar nuevos permisos que no formaban parte de la versión anterior de la aplicación. Si el desarrollador agrega permisos nuevos que requieran consentimiento de administrador, debe dar su consentimiento a los nuevos permisos. El flujo de aceptación es el mismo que se describe en Conceder el consentimiento de administrador para toda la organización a los permisos de una aplicación.

Para obtener información sobre los cambios de aplicaciones que requieren el consentimiento de un usuario o un administrador, consulte Condiciones en las que una actualización de la aplicación requiere consentimiento. Según la configuración de su organización, es posible que los usuarios puedan dar su consentimiento a algunos tipos de permisos.

Los permisos de consentimiento específico de recursos (RSC) permiten a una aplicación acceder a los datos de un equipo o de un usuario y modificarlos. Los permisos de RSC son específicos y granulares para el equipo de Teams en el que se agrega una aplicación. Algunos ejemplos de permisos de RSC son la capacidad de crear y eliminar canales en un equipo, obtener la configuración de un equipo y crear y quitar pestañas de canales.

Los permisos de RSC se definen en el manifiesto de la aplicación y no en Centro de administración Microsoft Entra. Los propietarios de equipos pueden dar su consentimiento para estos permisos cuando agregan la aplicación a un equipo o a un chat. Para obtener más información, consulta Consentimiento específico de recursos (RSC).

Puedes ver los permisos de RSC para una aplicación en la pestaña Permisos de la página de detalles de la aplicación. Los permisos RSC se muestran junto con los demás permisos en las secciones de Permisos de aplicación y Delegados.

Los administradores pueden configurar si los usuarios pueden permitir que las aplicaciones accedan o no a los datos de sus grupos o equipos. Los administradores globales pueden cambiar el consentimiento del propietario del grupo para que las aplicaciones accedan a la configuración de datos en Microsoft Entra ID, para permitir que los usuarios consienten los permisos de RSC.

Si no permites el consentimiento del propietario del grupo para las aplicaciones, los usuarios no pueden dar su consentimiento a los permisos de RSC en una aplicación, si se usan los permisos de RSC.