Configurare la modalità con cui gli utenti finali forniscono il consenso alle applicazioni

Questo articolo illustra come configurare il modo in cui gli utenti acconsentono alle applicazioni e come disabilitare tutte le future operazioni di consenso utente per le applicazioni.

Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere le autorizzazioni dell'applicazione a tale scopo. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono fornire il consenso alle applicazioni per le autorizzazioni che non richiedono il consenso dell'amministratore. Per impostazione predefinita, ad esempio, un utente può fornire il consenso in modo che un'app acceda alla cassetta postale, ma non può consentire a un'app di accedere senza limitazioni per la lettura e la scrittura di tutti i file dell'organizzazione.

Per ridurre il rischio di applicazioni dannose che tentano di ingannare gli utenti per ottenere l'accesso ai dati dell'organizzazione, è consigliabile fornire il consenso utente solo alle applicazioni pubblicate da un editore verificato.

Nota

Le applicazioni che richiedono che gli utenti vengano assegnati all'applicazione devono disporre delle autorizzazioni concesse da un amministratore, anche se i criteri di consenso utente per la directory consentirebbero altrimenti a un utente di fornire il consenso per proprio conto.

Prerequisiti

Per configurare il consenso utente, sono necessari:

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Per configurare le impostazioni del consenso utente tramite l'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra con il ruolo di Amministratore ruolo con privilegi.

  2. Passare alle impostazioni Identità>Applicazioni>Applicazioni aziendali>Consensi e autorizzazioni>Impostazioni per il consenso utente.

  3. In Consenso utente per le applicazioni, selezionare l'impostazione di consenso che si vuole configurare per tutti gli utenti.

  4. Per salvare le impostazioni, fare clic su Salva.

Screenshot del riquadro Impostazioni per il consenso utente.

Per scegliere i criteri di consenso delle app che gestiscono il consenso utente per le applicazioni, è possibile usare il modulo Microsoft Graph PowerShell. I cmdlet usati qui sono inclusi nel modulo Microsoft.Graph.Identity.SignIns.

Connessione a Microsoft Graph con PowerShell

Connettersi a Microsoft Graph PowerShell usando l'autorizzazione con privilegi minimi necessari. Per leggere le impostazioni di consenso dell'utente corrente, usare Policy.Read.All. Per leggere e modificare le impostazioni di consenso utente, usare Policy.ReadWrite.Authorization. È necessario accedere almeno come un Amministratore ruolo con privilegi.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Per consentire il consenso utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Sostituire {consent-policy-id} con l'ID del criterio che si vuole applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:

ID Descrizione
microsoft-user-default-low Permettere il consenso utente per le app da autori verificati per autorizzazioni selezionate
Permettere il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. (Assicurarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti possono fornire il consenso.)
microsoft-user-default-legacy Permettere il consenso utente per le app
Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione, che non richiede il consenso dell'amministratore, per qualsiasi applicazione

Ad esempio, per abilitare il consenso utente soggetto al criterio predefinito microsoft-user-default-low, eseguire i comandi seguenti:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Usare Graph Explorer per scegliere i criteri di consenso delle app che gestiscono il consenso utente per le applicazioni. È necessario accedere almeno come un Amministratore ruolo con privilegi.

Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Per consentire il consenso utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Sostituire {consent-policy-id} con l'ID del criterio che si vuole applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:

ID Descrizione
microsoft-user-default-low Permettere il consenso utente per le app da autori verificati per autorizzazioni selezionate
Permettere il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. (Assicurarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti possono fornire il consenso.)
microsoft-user-default-legacy Permettere il consenso utente per le app
Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione, che non richiede il consenso dell'amministratore, per qualsiasi applicazione

Ad esempio, per abilitare il consenso utente soggetto al criterio predefinito microsoft-user-default-low, usare il comando PATCH seguente:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Suggerimento

Per consentire agli utenti di richiedere la revisione e l'approvazione da parte di un amministratore per un'applicazione a cui l'utente non è autorizzato a fornire il consenso, abilitare il flusso di lavoro del consenso amministratore. Ad esempio, è possibile eseguire questa operazione quando il consenso utente è stato disabilitato o quando un'applicazione richiede autorizzazioni che l'utente non è autorizzato a concedere.

Passaggi successivi