Accorder et gérer le consentement aux autorisations d’application Teams

L’utilisation des applications Teams peut améliorer la productivité et la collaboration entre les utilisateurs de votre organization. Les applications Teams apportent des informations aux conseils de vos utilisateurs, sans aucun changement de contexte, et les aident à effectuer un excellent travail. En tant qu’administrateur, vous jouez un rôle essentiel pour donner à vos utilisateurs le bon type d’applications tout en équilibrant les besoins de votre entreprise en matière de sécurité et de conformité. Une fois que vous avez décidé d’approuver l’utilisation d’une application, vous devez vous assurer que l’adoption de l’application est fluide pour les utilisateurs.

Une partie essentielle consiste à accorder le consentement aux autorisations dont une application a besoin pour fonctionner. Vous consentez pour les applications approuvées afin que chaque utilisateur de votre organization n’ait pas à examiner les autorisations et à donner son consentement individuellement, lorsqu’il démarre l’application. Quelques exemples d’autorisations demandées par les applications incluent la possibilité de lire les informations stockées dans une équipe, de lire le profil d’un utilisateur et d’envoyer un e-mail au nom des utilisateurs. Pour en savoir plus sur les autorisations et le consentement, consultez Autorisations et consentement dans le point de terminaison Plateforme d'identités Microsoft.

Pour protéger les besoins de l’entreprise et respecter ses stratégies, seuls les administrateurs généraux peuvent accorder le consentement aux autorisations d’applications au nom de tous les utilisateurs de votre organization. L’option permettant d’afficher les détails et l’obligation d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

Afficher les autorisations Microsoft Graph demandées par une application

Dans la page Gérer les applications , la colonne Autorisations indique si une application dispose d’autorisations qui nécessitent un consentement. Sélectionnez le lien Afficher les détails d’une application pour afficher les différentes autorisations et accès aux informations de organization que l’application demande. L’option permettant d’afficher les détails et d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

L’octroi d’un consentement à ces autorisations permet à une application d’accéder aux informations de votre organization. Examinez attentivement les autorisations demandées par l’application avant d’accorder votre consentement. Pour plus d’informations, consultez Autorisations et consentement des applications Teams. Seuls les administrateurs généraux peuvent accorder le consentement aux autorisations Graph qu’une application demande. Les administrateurs Teams peuvent afficher les autorisations requises dans le Centre d’administration. L’option permettant d’afficher les détails et d’accorder le consentement s’applique aux applications personnalisées et tierces, et non aux applications fournies par Microsoft.

Pour afficher et accorder le consentement pour tous les utilisateurs de votre organization, procédez comme suit :

  1. Dans le Centre d’administration Teams, accédez à Applications Teams>Gérer les applications.

  2. Recherchez l’application requise, puis effectuez l’une des actions suivantes :

    • Sélectionnez le lien Afficher les détails dans la colonne Autorisations de l’application pour ouvrir l’onglet Autorisations .
    • Sélectionnez le nom de l’application pour accéder à la page des détails de l’application, puis sélectionnez l’onglet Autorisations .
  3. Sous Autorisations à l’échelle de l’organisation, sélectionnez Vérifier les autorisations et le consentement.

    Capture d’écran montrant l’option permettant d’accorder le consentement aux autorisations Graph demandées à une application.

  4. Dans la boîte de dialogue qui s’ouvre, passez en revue les autorisations demandées par l’application.

    Capture d’écran montrant la boîte de dialogue qui accepte le consentement pour les autorisations demandées par une application.

  5. Si vous acceptez les autorisations demandées par l’application, sélectionnez Accepter pour accorder le consentement. Une confirmation dans l’onglet Autorisations vous indique que le consentement est disponible pour l’application. L’application a désormais accès aux ressources spécifiées pour tous les utilisateurs de votre organization pour lesquels l’application est autorisée. Les utilisateurs ne sont pas invités à passer en revue les autorisations.

    Capture d’écran montrant une confirmation après avoir accordé votre consentement aux autorisations d’application.

Remarque

Dans la nouvelle version de l’application, si le développeur ajoute des autorisations supplémentaires qui nécessitent le consentement de l’administrateur, les utilisateurs ne peuvent pas utiliser l’application tant que vous n’avez pas accordé le consentement à l’application mise à jour.

Vous pouvez configurer les paramètres de consentement utilisateur pour permettre aux utilisateurs de donner leur consentement aux autorisations sélectionnées (approche recommandée) et utiliser des applications qui nécessitent uniquement ces autorisations spécifiques sans avoir besoin du consentement de l’administrateur.

Cette approche fonctionne avec la classification des autorisations dans Microsoft Entra ID portail. La classification permet aux administrateurs de définir certaines autorisations de graphe délégué comme des autorisations à faible risque dans leur organization. Les administrateurs décident des autorisations à faible risque en fonction de la posture de risque de leur organization. Par mesure de sécurité, vous ne pouvez pas classer les autorisations d’application à faible risque.

Vous pouvez configurer les paramètres de consentement de l’utilisateur de manière à ce que les utilisateurs puissent :

  • Ne pas être en mesure de donner son consentement à des applications et donc d’utiliser uniquement des applications approuvées par l’administrateur.
  • Consentez aux autorisations sélectionnées (approche recommandée) et utilisez l’application qui ne nécessitait que ces autorisations spécifiques.

L’approche recommandée fonctionne avec la classification des autorisations. La classification permet aux administrateurs de définir tout ou partie des autorisations de graphe délégué en tant qu’autorisations à faible risque dans leur organization. Les administrateurs décident des autorisations à faible risque en fonction de la posture de risque de leur organization. Par mesure de sécurité, vous ne pouvez pas classer les autorisations d’application à faible risque. Les autorisations d’application nécessitent uniquement le consentement d’un administrateur. Pour plus d’informations, consultez Configurer la façon dont les utilisateurs consentent aux applications et comment classifier les autorisations comme présentant un risque faible ou élevé.

Les rôles qui peuvent effectuer cette configuration sont Administrateur général, Administrateur d’application ou Administrateur d’application cloud. Nous vous recommandons d’utiliser un rôle de privilège inférieur tel que Administrateur d’application.

Une fois que vous avez accordé le consentement aux autorisations d’une application, une confirmation dans l’onglet Autorisations vous indiquant que le consentement est disponible pour les autorisations de l’application. Si vous souhaitez afficher les détails de chaque autorisation d’application, procédez comme suit :

  1. Connectez-vous à centre d’administration Microsoft Entra.

  2. Sélectionnez Applications>Applications d’entreprise.

  3. Sélectionnez une application pour afficher ses autorisations. Sélectionnez Autorisations dans la page des applications.

    Capture d’écran montrant l’interface utilisateur Entra utilisée pour afficher et gérer le consentement accordé aux autorisations d’une application.

  4. Sélectionnez une autorisation pour en savoir plus sur celle-ci.

    Capture d’écran montrant les détails d’une autorisation sélectionnée.

Pour révoquer le consentement que vous avez accordé précédemment à une application, procédez comme suit :

  1. Sous l’onglet Autorisations, sélectionnez le lien Microsoft Entra ID pour ouvrir les autorisations de l’application dans centre d’administration Microsoft Entra.

  2. Dans l’onglet consentement Administration, choisissez l’autorisation que vous souhaitez révoquer, puis sélectionnez les points de suspension ....

  3. Sélectionnez Révoquer l’autorisation, puis Sélectionnez Oui, révoquer dans la boîte de dialogue de confirmation.

    Capture d’écran montrant l’option permettant de révoquer une autorisation Graph d’une application de la centre d’administration Microsoft Entra.

Une fois que vous avez révoqué le consentement à certaines autorisations, vous pouvez obtenir votre consentement. Consultez Accorder un consentement administrateur à l’échelle de l’organisation aux autorisations d’une application.

Les développeurs mettent à jour les applications pour ajouter de nouvelles fonctionnalités, améliorer les fonctionnalités existantes ou corriger les bogues. Certaines mises à jour d’application peuvent ajouter de nouvelles autorisations qui ne faisaient pas partie de la version précédente de l’application. Si le développeur ajoute de nouvelles autorisations qui nécessitent le consentement de l’administrateur, vous devez donner votre consentement pour les nouvelles autorisations. Le flux de reconsente est identique à celui décrit dans Accorder le consentement administrateur à l’échelle de l’organisation aux autorisations d’une application.

Pour en savoir plus sur les modifications d’application qui nécessitent le consentement d’un utilisateur ou d’un administrateur, consultez conditions lorsqu’une mise à jour d’application nécessite le consentement. Selon la configuration de votre organization, les utilisateurs peuvent accorder leur consentement à certains types d’autorisations.

Les autorisations RSC (Resource-specific consent) permettent à une application d’accéder aux données d’une équipe ou d’un utilisateur et de les modifier. Les autorisations RSC sont précises et spécifiques à l’équipe Teams à laquelle une application est ajoutée. Voici quelques exemples d’autorisations RSC : la possibilité de créer et de supprimer des canaux dans une équipe, d’obtenir les paramètres d’une équipe et de créer et supprimer des onglets de canal.

Les autorisations RSC sont définies dans le manifeste de l’application et non dans centre d’administration Microsoft Entra. Les propriétaires d’équipe peuvent accorder leur consentement pour ces autorisations lorsqu’ils ajoutent l’application à une équipe ou à une conversation. Pour en savoir plus, consultez Consentement spécifique à la ressource (RSC).

Vous pouvez afficher les autorisations RSC pour une application dans l’onglet Autorisations de la page des détails de l’application. Les autorisations RSC sont répertoriées avec les autres autorisations sous les sections Des autorisations d’application et déléguées.

Les administrateurs peuvent configurer si les utilisateurs peuvent autoriser les applications à accéder ou non aux données de leurs groupes ou équipes. Les administrateurs généraux peuvent modifier le consentement du propriétaire du groupe pour les applications accédant aux paramètres de données dans Microsoft Entra ID, afin de permettre aux utilisateurs de donner leur consentement aux autorisations RSC.

Si vous ne laissez pas le propriétaire du groupe donner son consentement pour les applications, les utilisateurs ne peuvent pas donner leur consentement aux autorisations RSC dans une application, si des autorisations RSC sont utilisées.