Configurer la façon dont les utilisateurs donnent leur consentement aux applications

Dans cet article, vous allez apprendre à configurer la façon dont les utilisateurs donnent leur consentement aux applications et à désactiver toutes les futures opérations de consentement utilisateur aux applications.

Pour qu’une application puisse accéder aux données de votre organisation, un utilisateur doit lui accorder les autorisations nécessaires. Les différentes autorisations ont trait à des niveaux d’accès différents. Par défaut, tous les utilisateurs peuvent accorder à des applications des autorisations qui ne nécessitent pas de consentement de l’administrateur. Par exemple, par défaut, un utilisateur peut autoriser une application à accéder à sa boîte aux lettres, mais ne peut pas l’autoriser à accéder en lecture et en écriture à tous les fichiers de votre organisation.

Pour réduire le risque d’exposition à des applications malveillantes tentant d’amener les utilisateurs à leur accorder l’accès aux données de votre organisation, nous vous recommandons de permettre à l’utilisateur d’autoriser uniquement des applications publiées par un serveur de publication vérifié.

Remarque

Les applications qui exigent que les utilisateurs soient affectés à l’application doivent disposer de leurs autorisations accordées par un administrateur, même si les stratégies de consentement de l’utilisateur pour votre annuaire autorisent un utilisateur à donner son consentement pour le compte d’eux-mêmes.

Prérequis

Pour configurer le consentement utilisateur, vous devez avoir :

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour configurer les paramètres de consentement utilisateur via le Centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de rôle privilégié.

  2. Accédez à Identité>Applications>Applications d’entreprise>Consentement et autorisations>Paramètres de consentement utilisateur.

  3. Sous Consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous voulez configurer pour tous les utilisateurs.

  4. Sélectionnez Enregistrer pour enregistrer vos paramètres.

Capture d’écran du volet Paramètres du consentement de l’utilisateur.

Pour choisir la stratégie de consentement aux applications régissant le consentement de l’utilisateur pour les applications, vous pouvez utiliser le module Microsoft Graph PowerShell. Les cmdlets utilisées ici sont incluses dans le module Microsoft.Graph.Identity.SignIns.

Se connecter à Microsoft Graph PowerShell

Connectez-vous à Microsoft Graph PowerShell à l’aide de l’autorisation de privilège minimum nécessaire. Pour lire les paramètres de consentement de l’utilisateur actuel, utilisez Policy.Read.All. Pour lire et modifier les paramètres de consentement de l’utilisateur, utilisez Policy.ReadWrite.Authorization. Vous devez vous connecter en tant qu’Administrateur de rôle privilégié.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies ManagePermissionGrantsForOwnedResource.* actuelles le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies ManagePermissionGrantsForOwnedResource.* actuelles le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement aux applications personnalisée que vous avez créée ou vous pouvez choisir parmi les stratégies intégrées suivantes :

ID Description
microsoft-user-default-low Autoriser le consentement de l’utilisateur pour les applications provenant de serveurs de publication vérifiés, pour les autorisations sélectionnées
Autorisez un consentement utilisateur limité uniquement aux applications provenant d’éditeurs et d’applications vérifiés et inscrits dans votre client, et uniquement pour les autorisations que vous classifiez comme impact faible. (N’oubliez pas de classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.)
microsoft-user-default-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez les commandes suivantes :

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Utilisez l’Explorateur Graph pour choisir la stratégie de consentement de l’application qui régit le consentement de l’utilisateur pour les applications. Vous devez vous connecter en tant qu’Administrateur de rôle privilégié.

Pour désactiver le consentement de l'utilisateur, vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies ManagePermissionGrantsForOwnedResource.* actuelles le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Pour autoriser le consentement de l’utilisateur, choisissez la stratégie de consentement de l’application qui doit régir l’autorisation des utilisateurs pour accorder le consentement aux applications. Vérifiez que les stratégies de consentement (PermissionGrantPoliciesAssigned) incluent d’autres stratégies ManagePermissionGrantsForOwnedResource.* actuelles le cas échéant lors de la mise à jour de la collection. De cette façon, vous pouvez conserver votre configuration actuelle en ce qui concerne les paramètres de consentement de l’utilisateur et d’autres paramètres de consentement relatifs aux ressources.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Remplacez {consent-policy-id} par l’ID de la stratégie que vous voulez appliquer. Vous pouvez choisir une stratégie de consentement aux applications personnalisée que vous avez créée ou vous pouvez choisir parmi les stratégies intégrées suivantes :

ID Description
microsoft-user-default-low Autoriser le consentement de l’utilisateur pour les applications provenant de serveurs de publication vérifiés, pour les autorisations sélectionnées
Autorisez un consentement utilisateur limité uniquement aux applications provenant d’éditeurs et d’applications vérifiés et inscrits dans votre client, et uniquement pour les autorisations que vous classifiez comme impact faible. (N’oubliez pas de classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.)
microsoft-user-default-legacy Autoriser le consentement de l’utilisateur pour les applications
Cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement administrateur.

Par exemple, pour activer le consentement utilisateur soumis à la stratégie intégrée microsoft-user-default-low, exécutez la commande PATCH suivante :

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Conseil

Pour permettre aux utilisateurs de demander la révision et l’approbation d’un administrateur d’une application à laquelle l’utilisateur n’est pas autorisé à donner son consentement, activez le flux de travail du consentement administrateur. Par exemple, vous pourriez l’activer lorsque le consentement utilisateur a été désactivé ou lorsqu’une application demande des autorisations que l’utilisateur n’est pas autorisé à accorder.

Étapes suivantes