Configurar como os usuários dão consentimento para aplicativos

Neste artigo, você aprenderá a configurar a maneira como os usuários consentem com aplicativos e como desabilitar todas as operações futuras de consentimento do usuário para aplicativos.

Antes que um aplicativo possa acessar os dados da sua organização, um usuário precisa conceder permissões de aplicativo para isso. Permissões diferentes permitem diferentes níveis de acesso. Por padrão, todos os usuários têm permissão para consentir nos aplicativos em relação a permissões que não exijam o consentimento do administrador. Por exemplo, por padrão, um usuário pode permitir que um aplicativo acesse sua caixa de correio, mas não pode permitir que um aplicativo tenha acesso irrestrito para ler e gravar em todos os arquivos em sua organização.

Para reduzir o risco de aplicativos mal-intencionados tentarem induzir os usuários a conceder acesso aos dados da sua organização, recomendamos que você permita o consentimento do usuário apenas em aplicativos que foram publicados por um fornecedor verificado.

Observação

Os aplicativos que exigem que os usuários sejam atribuídos ao aplicativo devem ter suas permissões consentidas por um administrador, mesmo que as políticas de consentimento do usuário para o seu diretório permitam que um usuário consinta em seu próprio nome.

Pré-requisitos

Para configurar o consentimento do usuário, você precisa de:

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para definir as configurações do consentimento do usuário por meio do centro de administração do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra como um Administrador de funções com privilégios.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.

  3. Em Consentimento do usuário para aplicativos, selecione a configuração de consentimento que você deseja configurar para todos os usuários.

  4. Selecione Salvar para salvar suas configurações.

Captura de tela do painel 'Configurações de consentimento do usuário'.

Para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos, é possível usar o módulo Microsoft Graph PowerShell. Os cmdlets usados aqui estão incluídos no módulo Microsoft.Graph.Identity.SignIns.

Conectar-se ao Microsoft Graph PowerShell

Conecte-se ao Microsoft Graph PowerShell usando a permissão de privilégio mínimo necessária. Para ler as configurações atuais de consentimento do usuário, use Policy.Read.All. Para ler e alterar as configurações de consentimento do usuário, use Policy.ReadWrite.Authorization. Você precisa entrar como Administrador de funções com privilégios.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Para desabilitar o consentimento do usuário, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body

Substitua {consent-policy-id} pela ID da política que deseja aplicar. É possível escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:

ID Descrição
microsoft-user-default-low Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas
Permita o consentimento limitado do usuário somente para aplicativos de editores verificados e aplicativos que são registrados no seu locatário e somente para permissões que você classifica como baixo impacto. (Lembre-se de classificar permissões para selecionar quais permissões os usuários têm permissão para consentir.)
microsoft-user-default-legacy Permitir o consentimento do usuário para aplicativos
Essa opção permite que todos os usuários consintam qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo

Por exemplo, para habilitar o consentimento do usuário sujeito à política interna microsoft-user-default-low, execute os seguintes comandos:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Use o Graph Explorer para escolher qual política de consentimento do aplicativo rege o consentimento do usuário para aplicativos. Você precisa entrar como Administrador de funções com privilégios.

Para desabilitar o consentimento do usuário, verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos. Verifique se as políticas de consentimento (PermissionGrantPoliciesAssigned) incluem outras políticas atuais ManagePermissionGrantsForOwnedResource.* se houver durante a atualização da coleção. Dessa forma, é possível manter sua configuração atual para configurações de consentimento do usuário e outras configurações de consentimento do recurso.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Substitua {consent-policy-id} pela ID da política que deseja aplicar. É possível escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:

ID Descrição
microsoft-user-default-low Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas
Permita o consentimento limitado do usuário somente para aplicativos de editores verificados e aplicativos que são registrados no seu locatário e somente para permissões que você classifica como baixo impacto. (Lembre-se de classificar permissões para selecionar quais permissões os usuários têm permissão para consentir.)
microsoft-user-default-legacy Permitir o consentimento do usuário para aplicativos
Essa opção permite que todos os usuários consintam qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo

Por exemplo, para habilitar o consentimento do usuário sujeito à política interna microsoft-user-default-low, use o seguinte comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Dica

Para permitir que os usuários solicitem a revisão e a aprovação de um aplicativo do administrador que o usuário não tem permissão para consentir, habilita o fluxo de trabalho de consentimento do administrador. Por exemplo, é possível fazer isso quando o consentimento do usuário tiver sido desabilitado ou quando um aplicativo estiver solicitando permissões que o usuário não tem permissão para conceder.

Próximas etapas