Configuración del consentimiento de los usuarios a las aplicaciones

En este artículo, obtendrá información sobre cómo configurar la forma en que los usuarios dan su consentimiento a las aplicaciones y cómo deshabilitar todas las operaciones futuras de consentimiento del usuario para las aplicaciones.

Para que una aplicación pueda acceder a los datos de su organización, primero un usuario debe conceder los permisos de aplicación. Existen diferentes permisos que permiten distintos niveles de acceso. De forma predeterminada, todos los usuarios pueden dar su consentimiento a las aplicaciones para los permisos que no requieren el consentimiento del administrador. Por ejemplo, de forma predeterminada, un usuario puede dar su consentimiento para permitir que una aplicación acceda a su buzón, pero no puede dar su consentimiento para que una aplicación pueda acceder sin restricciones para leer y escribir en todos los archivos de la organización.

Para reducir el riesgo de que las aplicaciones malintencionadas intenten engañar a los usuarios para que les concedan acceso a los datos de su organización, se recomienda permitir el consentimiento del usuario solo para las aplicaciones publicadas por un publicador comprobado.

Importante

A partir del 30 de septiembre de 2022, la nueva configuración de consentimiento predeterminado para los nuevos inquilinos será seguir la recomendación de Microsoft. La recomendación inicial de Microsoft en ese momento será que los usuarios finales no puedan dar su consentimiento a las aplicaciones multiarrendamiento sin la verificación del editor si la aplicación solicita permisos básicos como el inicio de sesión y los permisos de lectura del perfil de usuario.

Requisitos previos

Para configurar el consentimiento del usuario, necesita lo siguiente:

• Una cuenta de usuario. Si no la tiene, puede crear una cuenta gratis.
• Un rol Administrador global o Administrador con privilegios.

Portal de Azure

Opciones de configuración del consentimiento del usuario

Para configurar el consentimiento del usuario en Azure Portal:

1. Inicie sesión en Azure Portal como Administrador global.

2. Seleccione Azure Active Directory>Aplicaciones empresariales>Consentimiento y permisos>Configuración del consentimiento de los usuarios.

3. En Consentimiento del usuario para las aplicaciones, seleccione la configuración de consentimiento que desee establecer para todos los usuarios.

4. Haga clic en Guardar para guardar la configuración.

PowerShell

Puede usar el módulo de PowerShell de Azure AD más reciente para elegir la directiva de consentimiento de aplicaciones que rige el consentimiento del usuario para las aplicaciones.

Nota

Las instrucciones siguientes usan el módulo de PowerShell (AzureAD) de Azure AD de disponibilidad general. Los nombres de parámetro son diferentes en la versión preliminar de este módulo (AzureADPreview). Si tiene ambos módulos instalados, asegúrese de que usa el cmdlet del módulo correcto ejecutando primero:

Remove-Module AzureADPreview -ErrorAction SilentlyContinue
Import-Module AzureAD

Deshabilitar el consentimiento del usuario

Para deshabilitar el consentimiento del usuario, establezca las directivas de consentimiento que rigen el consentimiento del usuario para que estén vacías:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Permitir el consentimiento del usuario sujeto a una directiva de consentimiento de aplicaciones

Para permitir el consentimiento del usuario, elija la directiva de consentimiento de aplicaciones que debe controlar la autorización de los usuarios para conceder consentimiento a las aplicaciones:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Reemplace {consent-policy-id} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID	Descripción
microsoft-user-default-low	Permitir el consentimiento del usuario para las aplicaciones de publicadores verificados para los permisos seleccionados Permita el consentimiento limitado del usuario solo para aplicaciones de editores verificados y aplicaciones que estén registradas en el inquilino, y solo para los permisos que clasifique como de bajo impacto. (Recuerde clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento).
microsoft-user-default-legacy	Permitir el consentimiento del usuario para las aplicaciones Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Por ejemplo, para habilitar el consentimiento del usuario en función de la directiva integrada microsoft-user-default-low, ejecute los comandos siguientes:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Sugerencia

Para permitir que los usuarios soliciten la revisión y aprobación de un administrador de una aplicación a la que el usuario no puede dar su consentimiento, habilite el flujo de trabajo de consentimiento del administrador. Por ejemplo, puede hacerlo cuando se haya deshabilitado el consentimiento del usuario o cuando una aplicación solicite permisos que el usuario no puede conceder.

Pasos siguientes

• Administración de directivas de consentimiento de aplicaciones
• Configuración del flujo de trabajo de consentimiento del administrador