Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come configurare le impostazioni di consenso utente in Microsoft Entra ID per controllare quando e come gli utenti concedono le autorizzazioni alle applicazioni. Queste indicazioni consentono agli amministratori IT di ridurre i rischi per la sicurezza limitando o disabilitando il consenso dell'utente.
Prima che un'applicazione possa accedere ai dati dell'organizzazione, un utente deve concedere le autorizzazioni dell'applicazione a tale scopo. Autorizzazioni diverse consentono livelli di accesso diversi. Per impostazione predefinita, tutti gli utenti possono fornire il consenso alle applicazioni per le autorizzazioni che non richiedono il consenso dell'amministratore. Per impostazione predefinita, ad esempio, un utente può fornire il consenso in modo che un'app acceda alla cassetta postale, ma non può consentire a un'app di accedere senza limitazioni per la lettura e la scrittura di tutti i file dell'organizzazione.
Per ridurre il rischio di applicazioni dannose che tentano di ingannare gli utenti a concedere loro l'accesso ai dati dell'organizzazione, è consigliabile consentire il consenso utente solo per le applicazioni pubblicate da un editore verificato.
Nota
Le applicazioni che richiedono l'assegnazione di utenti all'applicazione devono disporre delle autorizzazioni concesse da un amministratore, anche se i criteri di consenso utente per la directory altrimenti consentono a un utente di fornire il consenso per conto di se stessi.
Prerequisiti
Per configurare il consenso utente, sono necessari:
- Un account utente. Se non è già disponibile, è possibile creare gratuitamente un account.
- Amministratore di Ruolo con Privilegi.
- Un ruolo di amministratore globale è obbligatorio solo quando si usa l'interfaccia di amministrazione di Microsoft Entra.
Configurare le impostazioni del consenso utente
È possibile configurare le impostazioni di consenso utente in Microsoft Entra ID usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph. Le impostazioni configurate si applicano a tutti gli utenti dell'organizzazione.
Configurare il consenso utente nell'interfaccia di amministrazione di Microsoft Entra
Per configurare le impostazioni del consenso utente tramite l'interfaccia di amministrazione di Microsoft Entra:
Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
Passare a Identity>Applications>Enterprise apps>Consent and permissions>Impostazioni del consenso utente (Autorizzazioni e consenso utente).
In Consenso utente per le applicazioni selezionare l'impostazione di consenso da configurare per tutti gli utenti.
Selezionare Salva per salvare le impostazioni.
Informazioni sui criteri di autorizzazione e concessione delle autorizzazioni in Microsoft Graph PowerShell
Per configurare le impostazioni di consenso utente a livello di codice usando Microsoft Graph PowerShell, è importante comprendere la distinzione tra i criteri di autorizzazione a livello di tenant e i singoli criteri di concessione delle autorizzazioni. L'oggetto authorizationPolicy, recuperato tramite Update-MgPolicyAuthorizationPolicy regola le impostazioni globali, ad esempio se gli utenti possono fornire il consenso alle app e quali criteri di concessione delle autorizzazioni vengono assegnati al ruolo utente predefinito. Ad esempio, è possibile disabilitare il consenso dell'utente consentendo agli sviluppatori di gestire le autorizzazioni per le app di cui sono proprietari assegnando solo ManagePermissionGrantsForOwnedResource.DeveloperConsent nella permissionGrantPoliciesAssigned raccolta.
D'altra parte, l'endpoint permissionGrantPolicies elenca i criteri di concessione delle autorizzazioni correnti. Questi criteri determinano quali autorizzazioni possono essere concesse alle applicazioni e in quali circostanze. Ogni criterio "include" determinate condizioni, ma "esclude" altre. Quando un utente tenta di fornire il consenso a un'applicazione, il sistema controlla i criteri di concessione delle autorizzazioni per verificare se uno di essi si applica alla richiesta dell'utente. Ad esempio, i criteri a basso rischio consentono agli utenti di fornire il consenso a tali autorizzazioni configurate come "a basso rischio". Comprende queste politiche a basso rischio (come un GUID). In un altro scenario, se un utente tenta di fornire il consenso in un contesto corrispondente al criterio "AdminOnly", non è in grado di fornire il consenso.
Nota
Prima di aggiornare le impostazioni di consenso con un comando Update-MgPolicyPermissionGrantPolicy, recuperare sempre le impostazioni correnti authorizationPolicy per identificare i criteri di concessione delle autorizzazioni già assegnati. In questo modo è possibile mantenere le autorizzazioni necessarie, ad esempio quelle che consentono agli sviluppatori di gestire il consenso per le app di cui sono proprietari, ed evitare involontariamente la rimozione delle funzionalità esistenti.
Per scegliere i criteri di consenso delle app che regolano il consenso dell'utente per le applicazioni, usare il modulo Microsoft Graph PowerShell . I cmdlet usati qui sono inclusi nel modulo Microsoft.Graph.Identity.SignIns .
Connettersi a Microsoft Graph PowerShell usando l'autorizzazione con privilegi minimi necessari. Per leggere le impostazioni di consenso utente correnti, usare Policy.Read.All. Per leggere e modificare le impostazioni di consenso utente, usare Policy.ReadWrite.Authorization. È necessario accedere come amministratore del ruolo con privilegi.
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
Disabilitare il consenso dell'utente con Microsoft Graph PowerShell
Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
# only exclude user consent policy
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Permettere il consenso utente soggetto a un criterio di consenso dell'app tramite PowerShell
Per consentire il consenso utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $body
Sostituire {consent-policy-id} con l'ID del criterio che si vuole applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:
| identificativo | Descrizione |
|---|---|
| microsoft-utente-predefinito-basso |
Consenti il consenso dell'utente per le app degli editori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso. |
| utente-microsoft-predefinito-legacy |
Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione, che non richiede il consenso dell'amministratore, per qualsiasi applicazione |
Ad esempio, per abilitare il consenso utente soggetto al criterio predefinito microsoft-user-default-low, eseguire i comandi seguenti:
$body = @{
"permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
"managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
)
}
Informazioni sui criteri di autorizzazione e concessione delle autorizzazioni in Microsoft Graph
Per configurare le impostazioni di consenso utente a livello di codice usando Microsoft Graph, è importante comprendere la distinzione tra i criteri di autorizzazione a livello di tenant e i singoli criteri di concessione delle autorizzazioni. Il authorizationPolicy (recuperato tramite GET https://graph.microsoft.com/v1.0/policies/authorizationPolicy/authorizationPolicy) controlla le impostazioni globali, ad esempio se gli utenti possono fornire il consenso alle app e quali criteri di concessione delle autorizzazioni vengono assegnati al ruolo utente predefinito. Ad esempio, è possibile disabilitare il consenso dell'utente consentendo agli sviluppatori di gestire le autorizzazioni per le app di cui sono proprietari assegnando solo ManagePermissionGrantsForOwnedResource.DeveloperConsent nella permissionGrantPoliciesAssigned raccolta.
D'altra parte, l'endpoint permissionGrantPolicies (GET https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies) elenca i criteri di concessione delle autorizzazioni correnti. Questi criteri determinano quali autorizzazioni possono essere concesse alle applicazioni e in quali circostanze. Ogni criterio "include" determinate condizioni, ma "esclude" altre. Quando un utente tenta di fornire il consenso a un'applicazione, il sistema controlla i criteri di concessione delle autorizzazioni per verificare se uno di essi si applica alla richiesta dell'utente. Ad esempio, i criteri a basso rischio consentono agli utenti di fornire il consenso a tali autorizzazioni configurate come "a basso rischio". Comprende queste politiche a basso rischio (come un GUID). In un altro scenario, se un utente tenta di fornire il consenso in un contesto corrispondente al criterio "AdminOnly", non è in grado di fornire il consenso.
Nota
Prima di aggiornare le impostazioni di consenso con una richiesta PATCH, recuperare sempre l'elemento corrente authorizationPolicy per identificare i criteri di concessione delle autorizzazioni già assegnati. In questo modo è possibile mantenere le autorizzazioni necessarie, ad esempio quelle che consentono agli sviluppatori di gestire il consenso per le app di cui sono proprietari, ed evitare involontariamente la rimozione delle funzionalità esistenti.
Usare Graph Explorer per scegliere i criteri di consenso delle app che regolano il consenso dell'utente per le applicazioni. È necessario accedere come amministratore del ruolo con privilegi.
Disabilitare il consenso utente con Microsoft Graph
Per disabilitare il consenso dell'utente, assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Permettere il consenso utente soggetto a criteri di consenso dell'app tramite Microsoft Graph
Per consentire il consenso utente, scegliere i criteri di consenso delle app che devono gestire l'autorizzazione degli utenti per concedere il consenso alle app. Assicurarsi che i criteri di consenso (PermissionGrantPoliciesAssigned) includano altri criteri ManagePermissionGrantsForOwnedResource.* correnti, se presenti durante l'aggiornamento della raccolta. In questo modo, è possibile mantenere la configurazione corrente per le impostazioni di consenso utente e altre impostazioni di consenso delle risorse.
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"managePermissionGrantsForSelf.{consent-policy-id}",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
}
}
Sostituire {consent-policy-id} con l'ID del criterio che si vuole applicare. È possibile scegliere un criterio di consenso dell'app personalizzato creato oppure scegliere tra i criteri predefiniti seguenti:
| identificativo | Descrizione |
|---|---|
| microsoft-utente-predefinito-basso |
Consenti il consenso dell'utente per le app degli editori verificati, per le autorizzazioni selezionate Consentire il consenso utente limitato solo per le app di autori verificati e app registrate nel tenant e solo per le autorizzazioni classificate come a basso impatto. Ricordarsi di classificare le autorizzazioni per selezionare le autorizzazioni a cui gli utenti sono autorizzati a fornire il consenso. |
| utente-microsoft-predefinito-legacy |
Consenti consenso utente per le app Questa opzione consente a tutti gli utenti di fornire il consenso a qualsiasi autorizzazione, che non richiede il consenso dell'amministratore, per qualsiasi applicazione |
Ad esempio, per abilitare il consenso utente soggetto al criterio predefinito microsoft-user-default-low, usare il comando PATCH seguente:
PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
"defaultUserRolePermissions": {
"permissionGrantPoliciesAssigned": [
"managePermissionGrantsForSelf.microsoft-user-default-low",
"managePermissionGrantsForOwnedResource.{other-current-policies}"
]
}
}
Tutti gli aggiornamenti alle impostazioni di consenso utente influiscono solo sulle operazioni di consenso future per le applicazioni. Le concessioni di consenso esistenti rimangono invariate e gli utenti continuano ad avere accesso in base alle autorizzazioni concesse in precedenza. Per informazioni su come revocare le concessioni di consenso esistenti, vedere Esaminare le autorizzazioni concesse alle applicazioni aziendali.
Suggerimento
Per consentire agli utenti di richiedere la revisione e l'approvazione di un'applicazione a cui l'utente non è autorizzato a fornire il consenso, abilitare il flusso di lavoro di consenso amministratore. Ad esempio, è possibile eseguire questa operazione quando il consenso utente è stato disabilitato o quando un'applicazione richiede autorizzazioni che l'utente non è autorizzato a concedere.