Concedere e gestire il consenso per le autorizzazioni dell'app Teams

L'uso delle app Teams può offrire un'incredibile spinta alla produttività e alla collaborazione tra gli utenti dell'organizzazione. Le app di Teams portano le informazioni ai suggerimenti degli utenti, senza cambio di contesto, e li aiutano a svolgere un ottimo lavoro. Gli amministratori svolgono un ruolo fondamentale per fornire agli utenti il tipo appropriato di app, bilanciando al contempo le esigenze di sicurezza e conformità dell'azienda. Dopo aver deciso di approvare l'uso di un'app, è necessario assicurarsi che l'adozione dell'app sia fluida per gli utenti.

Una parte fondamentale è concedere il consenso alle autorizzazioni necessarie per il funzionamento di un'app. L'utente acconsente alle app approvate in modo che ogni utente dell'organizzazione non abbia la necessità di rivedere le autorizzazioni e il consenso singolarmente, quando avvia l'app. Alcuni esempi di autorizzazioni richieste dalle app includono la possibilità di leggere le informazioni archiviate in un team, leggere il profilo di un utente e inviare un messaggio di posta elettronica per conto degli utenti. Per altre informazioni sulle autorizzazioni e sul consenso, vedere Autorizzazioni e consenso nell'endpoint Microsoft Identity Platform.

Per salvaguardare le esigenze dell'azienda e rispettare i criteri, solo gli amministratori globali possono concedere il consenso alle autorizzazioni per le app per conto di tutti gli utenti dell'organizzazione. L'opzione per visualizzare i dettagli e il requisito del consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

Visualizzare le autorizzazioni di Microsoft Graph richieste da un'app

Nella pagina Gestisci app , la colonna Autorizzazioni indica se un'app dispone di autorizzazioni che richiedono il consenso. Selezionare il collegamento Visualizza dettagli per un'app per visualizzare le varie autorizzazioni e l'accesso alle informazioni dell'organizzazione richieste dall'app. L'opzione per visualizzare i dettagli e concedere il consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

La concessione del consenso a tali autorizzazioni consente a un'app di accedere alle informazioni dell'organizzazione. Esamina attentamente le autorizzazioni richieste dall'app prima di concedere il consenso. Per altre informazioni, vedere Autorizzazioni e consenso per le app di Teams. Solo gli amministratori globali possono concedere il consenso alle autorizzazioni Graph richieste da un'app. Gli amministratori di Teams possono visualizzare le autorizzazioni necessarie nell'interfaccia di amministrazione. L'opzione per visualizzare i dettagli e concedere il consenso si applica alle app personalizzate e di terze parti e non alle app fornite da Microsoft.

Per visualizzare e concedere il consenso a tutti gli utenti dell'organizzazione, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Teams accedere alle app >di TeamsGestire le app.

  2. Cercare l'app richiesta e quindi eseguire una delle operazioni seguenti:

    • Selezionare il collegamento Visualizza dettagli nella colonna Autorizzazioni dell'app per aprire la scheda Autorizzazioni .
    • Seleziona il nome dell'app per passare alla pagina dei dettagli dell'app e seleziona la scheda Autorizzazioni .
  3. In Autorizzazioni a livello di organizzazione selezionare Rivedi autorizzazioni e consenso.

    Screenshot che mostra l'opzione per concedere il consenso per le autorizzazioni Graph richieste per un'app.

  4. Nella finestra di dialogo visualizzata esaminare le autorizzazioni richieste dall'app.

    Screenshot che mostra la finestra di dialogo che accetta il consenso per le autorizzazioni richieste da un'app.

  5. Se accetti le autorizzazioni richieste dall'app, seleziona Accetta per concedere il consenso. Una conferma nella scheda delle autorizzazioni indica che il consenso è disponibile per l'app. L'app ha ora accesso alle risorse specificate per tutti gli utenti dell'organizzazione per i quali è consentita l'app. Agli utenti non viene richiesto di rivedere le autorizzazioni.

    Screenshot che mostra una conferma dopo aver concesso il consenso alle autorizzazioni dell'app.

Nota

Nella nuova versione dell'app, se lo sviluppatore aggiunge autorizzazioni aggiuntive che richiedono il consenso dell'amministratore, gli utenti non possono usare l'app finché non si concede il consenso all'app aggiornata.

È possibile configurare le impostazioni del consenso utente per consentire agli utenti di acconsentire alle autorizzazioni selezionate (approccio consigliato) e usare app che richiedono solo queste autorizzazioni specifiche senza il consenso dell'amministratore.

Questo approccio è compatibile con la classificazione delle autorizzazioni nel portale di Microsoft Entra ID. La classificazione consente agli amministratori di definire alcune autorizzazioni Delegate Graph come autorizzazioni a basso rischio all'interno dell'organizzazione. Gli amministratori decidono quali autorizzazioni a basso rischio si basano sulla postura di rischio dell'organizzazione. Come misura di sicurezza, non è possibile categorizzare le autorizzazioni delle applicazioni a basso rischio.

È possibile configurare le impostazioni del consenso utente in modo da consentire agli utenti di:

  • Non essere in grado di acconsentire ad alcuna app e quindi usare solo app approvate dall'amministratore.
  • Acconsentire alle autorizzazioni selezionate (approccio consigliato) e usare un'app che richiedeva solo queste autorizzazioni specifiche.

L'approccio consigliato è compatibile con la classificazione delle autorizzazioni. La classificazione consente agli amministratori di definire alcune o tutte le autorizzazioni Delegated Graph come autorizzazioni a basso rischio all'interno dell'organizzazione. Gli amministratori decidono le autorizzazioni a basso rischio in base alla postura di rischio dell'organizzazione. Come misura di sicurezza, non è possibile categorizzare le autorizzazioni delle applicazioni a basso rischio. Le autorizzazioni per le applicazioni richiedono il consenso solo di un amministratore. Per altre informazioni, vedere Configurare la modalità di consenso degli utenti alle applicazioni e come classificare le autorizzazioni come a basso o alto rischio.

I ruoli in grado di eseguire questa configurazione sono Amministratore globale, Amministratore applicazione o Amministratore applicazione cloud. È consigliabile usare un ruolo con privilegi inferiori, ad esempio Amministratore applicazione.

Dopo aver concesso il consenso alle autorizzazioni di un'app, nella scheda Autorizzazioni viene visualizzata una conferma che indica che il consenso è disponibile per le autorizzazioni dell'app. Per visualizzare i dettagli delle autorizzazioni per ogni app, seguire questa procedura:

  1. Accedi a Interfaccia di amministrazione di Microsoft Entra.

  2. Selezionare Applicazioni>Enterprise.

  3. Selezionare un'applicazione per visualizzarne le autorizzazioni. Selezionare Autorizzazioni nella pagina delle applicazioni.

    Screenshot che mostra l'interfaccia utente Entra usata per visualizzare e gestire il consenso concesso alle autorizzazioni di un'app.

  4. Selezionare un'autorizzazione per saperne di più.

    Screenshot che mostra i dettagli di un'autorizzazione selezionata.

Per revocare il consenso concesso in precedenza a un'app, seguire questa procedura:

  1. Nella scheda Autorizzazioni selezionare il collegamento Microsoft Entra ID per aprire le autorizzazioni dell'app in Interfaccia di amministrazione di Microsoft Entra.

  2. Nella scheda Amministrazione consenso scegliere l'autorizzazione da revocare e quindi selezionare i puntini di sospensione ....

  3. Seleziona Revoca autorizzazione e quindi Sì, revoca nella finestra di dialogo di conferma.

    Screenshot che mostra l'opzione per revocare l'autorizzazione Grafico di un'app dal Interfaccia di amministrazione di Microsoft Entra.

Dopo aver revocato il consenso ad alcune autorizzazioni, è possibile negare il consenso. Vedere Concedere il consenso di amministratore a livello di organizzazione per le autorizzazioni di un'app.

Gli sviluppatori aggiornano le app per aggiungere nuove funzionalità, migliorare le funzionalità esistenti o correggere bug. Alcuni aggiornamenti delle app potrebbero aggiungere nuove autorizzazioni che non favano parte della versione precedente dell'app. Se lo sviluppatore aggiunge nuove autorizzazioni che richiedono il consenso dell'amministratore, è necessario acconsentire alle nuove autorizzazioni. Il flusso di ricognizione è uguale a quello descritto in Concedere il consenso di amministratore a livello di organizzazione alle autorizzazioni di un'app.

Per informazioni sulle modifiche alle app che richiedono il consenso di un utente o di un amministratore, vedi le condizioni quando un aggiornamento dell'app richiede il consenso. A seconda della configurazione dell'organizzazione, gli utenti potrebbero essere in grado di concedere il consenso ad alcuni tipi di autorizzazioni.

Le autorizzazioni di consenso specifico delle risorse consentono a un'app di accedere e modificare i dati di un team o di un utente. Le autorizzazioni RSC sono granulari e specifiche per il team di Teams in cui viene aggiunta un'app. Alcuni esempi di autorizzazioni RSC sono la possibilità di creare ed eliminare canali in un team, ottenere le impostazioni per un team e creare e rimuovere le schede dei canali.

Le autorizzazioni RSC sono definite nel manifesto dell'app e non in Interfaccia di amministrazione di Microsoft Entra. I proprietari del team possono concedere il consenso per queste autorizzazioni quando aggiungono l'app a un team o a una chat. Per saperne di più, vedi Consenso specifico delle risorse (RSC).

È possibile visualizzare le autorizzazioni RSC per un'app nella scheda Autorizzazioni della pagina dei dettagli dell'app. Le autorizzazioni RSC sono elencate insieme alle altre autorizzazioni nelle sezioni Applicazione e Autorizzazioni delegate.

Gli amministratori possono configurare se gli utenti possono consentire o meno alle app di accedere ai dati dei gruppi o dei team. Gli amministratori globali possono modificare il consenso del proprietario del gruppo per le app che accedono alle impostazioni dei dati in Microsoft Entra ID, per consentire agli utenti di acconsentire alle autorizzazioni RSC.

Se non si consente il consenso del proprietario del gruppo per le app, gli utenti non possono acconsentire alle autorizzazioni RSC in un'app, se vengono usate le autorizzazioni RSC.