Configurer des classifications d’autorisations

Dans cet article, vous apprendrez à configurer les classifications d’autorisations dans Microsoft Entra ID. Les classifications d’autorisations vous permettent d’identifier l’impact des différentes autorisations en fonction des stratégies et des évaluations des risques de votre organisation. Par exemple, vous pouvez utiliser des classifications d’autorisations dans des stratégies de consentement afin d’identifier les autorisations que les utilisateurs peuvent accorder.

Trois classifications d’autorisation sont prises en charge : « Faible », « Moyen » (préversion) et « Élevé » (préversion). Actuellement, seules des autorisations déléguées qui ne nécessitent pas de consentement de l’administrateur peuvent être classifiées.

Les autorisations minimales requises pour effectuer une connexion de base sont openid, profile, email et offline_access, ce sont toutes des autorisations déléguées dans Microsoft Graph. Avec ces autorisations, une application peut lire les détails du profil de l’utilisateur connecté, et maintenir cet accès même quand l’utilisateur n’utilise plus l’application.

Prérequis

Pour configurer des classifications d’autorisations, vous avez besoin des éléments suivants :

  • Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
  • Un des rôles suivants : Administrateur d’application ou Administrateur d’application cloud

Gérer des classifications d’autorisations

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Procédez comme suit pour classifier les autorisations à l’aide du centre d’administration Microsoft Entra :

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Consentement et autorisations>Classifications d’autorisation.
  3. Choisissez l’onglet de la classification d’autorisation que vous souhaitez mettre à jour.
  4. Choisissez Ajouter des autorisations pour classifier une autre autorisation.
  5. Sélectionnez l’API, puis sélectionnez une ou plusieurs autorisations déléguées.

Dans cet exemple, nous classifions l’ensemble minimal d’autorisations requises pour l’authentification unique :

Classifications d’autorisations

Vous pouvez utiliser le dernier module Azure AD PowerShell pour classifier les autorisations. Les classifications des autorisations sont configurées sur l’objet ServicePrincipal de l’API qui publie les autorisations.

Exécutez la commande suivante pour vous connecter à Azure AD PowerShell. Pour consentir aux étendues requises, connectez-vous au minimum en tant qu’Administrateur d’application cloud.

Connect-AzureAD

Répertoriez les classifications d’autorisations actuelles à l’aide d’Azure AD PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API. Ici, nous récupérons l’objet ServicePrincipal pour l’API Microsoft Graph :

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Lisez les classifications d’autorisations déléguées pour l’API :

    Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
    

Classifiez une autorisation en tant que « Faible impact » à l’aide d’Azure AD PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API. Ici, nous récupérons l’objet ServicePrincipal pour l’API Microsoft Graph :

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Recherchez l’autorisation déléguée que vous souhaitez classifier :

    $delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }
    
  3. Définissez la classification d’autorisation à l’aide du nom et de l’ID de l’autorisation :

    Add-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId `
       -PermissionId $delegatedPermission.Id `
       -PermissionName $delegatedPermission.Value `
       -Classification "low"
    

Supprimez une classification d’autorisation déléguée à l’aide d’Azure AD PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API. Ici, nous récupérons l’objet ServicePrincipal pour l’API Microsoft Graph :

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Recherchez la classification d’autorisation déléguée à supprimer :

    $classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}
    
  3. Supprimez la classification d’autorisation :

    Remove-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId `
        -Id $classificationToRemove.Id
    

Vous pouvez utiliser Microsoft Graph PowerShell pour classifier des autorisations. Les classifications des autorisations sont configurées sur l’objet ServicePrincipal de l’API qui publie les autorisations.

Exécutez la commande suivante pour vous connecter à Microsoft Graph PowerShell. Pour consentir aux étendues requises, connectez-vous au minimum en tant qu’Administrateur d’application cloud.

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant".

Répertoriez des classifications d’autorisations actuelles pour une API à l’aide de Microsoft Graph PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API :

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Lisez les classifications d’autorisations déléguées pour l’API :

    Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    

Classifiez une autorisation en tant que « Faible impact » à l’aide de Microsoft Graph PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API :

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Recherchez l’autorisation déléguée que vous souhaitez classifier :

    $delegatedPermission = $api.Oauth2PermissionScopes | Where-Object {$_.Value -eq "openid"} 
    
  3. Définissez la classification d’autorisation :

    $params = @{ 
       PermissionId = $delegatedPermission.Id 
       PermissionName = $delegatedPermission.Value 
       Classification = "Low"
    } 
    
    New-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id -BodyParameter $params 
    

Supprimez une classification d’autorisation déléguée à l’aide de Microsoft Graph PowerShell

  1. Récupérez l’objet ServicePrincipal pour l’API :

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Recherchez la classification d’autorisation déléguée à supprimer :

    $classifications = Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "openid"}
    
  3. Supprimez la classification d’autorisation :

Remove-MgServicePrincipalDelegatedPermissionClassification -DelegatedPermissionClassificationId $classificationToRemove.Id   -ServicePrincipalId $api.id 

Pour configurer des classifications d’autorisations pour une application d’entreprise, connectez-vous à Graph Explorer au minimum en tant qu’Administrateur d’application cloud.

Vous devez consentir à l’autorisation Policy.ReadWrite.PermissionGrant.

Exécutez les requêtes suivantes dans l’explorateur Microsoft Graph pour ajouter une classification d’autorisations déléguées à une application.

Répertoriez des classifications d’autorisations actuelles pour une API à l’aide de l’API Microsoft Graph

Répertoriez les classifications d’autorisations actuelles pour une API à l’aide de l’appel d’API Microsoft Graph suivant.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications

Classifiez une autorisation en tant que « Faible impact » à l’aide de l’API Microsoft Graph

Dans l’exemple suivant, nous classifions l’autorisation comme une classification à « faible impact ».

Ajoutez une classification d’autorisation déléguée pour une API à l’aide de l’appel d’API Microsoft Graph suivant.

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Content-type: application/json

{
   "permissionId": "b4e74841-8e56-480b-be8b-910348b18b4c",
   "classification": "low"
}

Supprimez une classification d’autorisation déléguée à l’aide de l’API Microsoft Graph

Exécutez la requête suivante dans l’explorateur Microsoft Graph pour supprimer une classification d’autorisations déléguées d’une API.

DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications/QUjntFaOC0i-i5EDSLGLTAE

Étapes suivantes