Configuración del consentimiento de los usuarios a las aplicaciones

En este artículo, obtendrá información sobre cómo configurar la forma en que los usuarios dan su consentimiento a las aplicaciones y cómo deshabilitar todas las operaciones futuras de consentimiento del usuario para las aplicaciones.

Para que una aplicación pueda acceder a los datos de su organización, primero un usuario debe conceder los permisos de aplicación. Existen diferentes permisos que permiten distintos niveles de acceso. De forma predeterminada, todos los usuarios pueden dar su consentimiento a las aplicaciones para los permisos que no requieren el consentimiento del administrador. Por ejemplo, de forma predeterminada, un usuario puede dar su consentimiento para permitir que una aplicación acceda a su buzón, pero no puede dar su consentimiento para que una aplicación pueda acceder sin restricciones para leer y escribir en todos los archivos de la organización.

Para reducir el riesgo de que las aplicaciones malintencionadas intenten engañar a los usuarios para que les concedan acceso a los datos de su organización, se recomienda permitir el consentimiento del usuario solo para las aplicaciones publicadas por un publicador comprobado.

Requisitos previos

Para configurar el consentimiento del usuario, necesita lo siguiente:

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para configurar las opciones de consentimiento del usuario a través del Centro de administración de Microsoft Entra:

  1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

  2. Vaya a la configuración de Identidad>Aplicaciones>Aplicaciones empresariales>Consentimiento y permisos>Configuración de consentimiento del usuario.

  3. En Consentimiento del usuario para las aplicaciones, seleccione la configuración de consentimiento que desee establecer para todos los usuarios.

  4. Haga clic en Guardar para guardar la configuración.

Screenshot of the 'User consent settings' pane.

Puede usar el módulo de PowerShell de Microsoft Graph para elegir la directiva de consentimiento de aplicaciones que rige el consentimiento del usuario para las aplicaciones. Los cmdlets que se usan aquí se incluyen en el módulo Microsoft.Graph.Identity.SignIns.

Conexión a PowerShell de Microsoft Graph

Conéctese a PowerShell de Microsoft Graph con un permiso con los privilegios mínimos necesarios. Para leer la configuración de consentimiento del usuario actual, use Policy.Read.All. Para leer y cambiar la configuración de consentimiento del usuario, use Policy.ReadWrite.Authorization. Debe iniciar sesión como administrador global.

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

Para deshabilitar el consentimiento del usuario, asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan otras directivas ManagePermissionGrantsForOwnedResource.* actuales, en caso de haberlas, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

# only exclude user consent policy
$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForOwnedResource.{other-current-policies}" 
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Para permitir el consentimiento del usuario, elija la directiva de consentimiento de aplicaciones que debe controlar la autorización de los usuarios para conceder consentimiento a las aplicaciones. Asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan otras directivas ManagePermissionGrantsForOwnedResource.* actuales, en caso de haberlas, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}
Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

Reemplace {consent-policy-id} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID Descripción
microsoft-user-default-low Permitir el consentimiento del usuario para las aplicaciones de publicadores verificados para los permisos seleccionados
Permita el consentimiento limitado del usuario solo para aplicaciones de editores verificados y aplicaciones que estén registradas en el inquilino, y solo para los permisos que clasifique como de bajo impacto. (Recuerde clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento).
microsoft-user-default-legacy Permitir el consentimiento del usuario para las aplicaciones
Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Por ejemplo, para habilitar el consentimiento del usuario en función de la directiva integrada microsoft-user-default-low, ejecute los comandos siguientes:

$body = @{
    "permissionGrantPolicyIdsAssignedToDefaultUserRole" = @(
        "managePermissionGrantsForSelf.managePermissionGrantsForSelf.microsoft-user-default-low",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
    )
}

Use el Probador de Graph para elegir qué directiva de consentimiento de aplicación rige el consentimiento del usuario para las aplicaciones. Debe iniciar sesión como administrador global.

Para deshabilitar el consentimiento del usuario, asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan otras directivas ManagePermissionGrantsForOwnedResource.* actuales, en caso de haberlas, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy
{
   "defaultUserRolePermissions": {
       "permissionGrantPoliciesAssigned": [
           "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Para permitir el consentimiento del usuario, elija la directiva de consentimiento de aplicaciones que debe controlar la autorización de los usuarios para conceder consentimiento a las aplicaciones. Asegúrese de que las directivas de consentimiento (PermissionGrantPoliciesAssigned) incluyan otras directivas ManagePermissionGrantsForOwnedResource.* actuales, en caso de haberlas, al actualizar la colección. De este modo, puede mantener la configuración actual para las opciones de consentimiento del usuario y otras opciones de consentimiento de recursos.

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "managePermissionGrantsForSelf.{consent-policy-id}",
        "managePermissionGrantsForOwnedResource.{other-current-policies}"
   }
}

Reemplace {consent-policy-id} por el id. de la directiva que le gustaría aplicar. Puede elegir una directiva de consentimiento de aplicaciones personalizada que haya creado, o bien elegir entre las siguientes directivas integradas:

ID Descripción
microsoft-user-default-low Permitir el consentimiento del usuario para las aplicaciones de publicadores verificados para los permisos seleccionados
Permita el consentimiento limitado del usuario solo para aplicaciones de editores verificados y aplicaciones que estén registradas en el inquilino, y solo para los permisos que clasifique como de bajo impacto. (Recuerde clasificar los permisos para seleccionar aquellos a los que los usuarios pueden dar su consentimiento).
microsoft-user-default-legacy Permitir el consentimiento del usuario para las aplicaciones
Esta opción permite a todos los usuarios dar su consentimiento a cualquier permiso para todas las aplicaciones, siempre que este no requiera el consentimiento del administrador.

Por ejemplo, para habilitar el consentimiento del usuario sujeto a la directiva integrada microsoft-user-default-low, ejecute el siguiente comando PATCH:

PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy

{
    "defaultUserRolePermissions": {
        "permissionGrantPoliciesAssigned": [
            "managePermissionGrantsForSelf.microsoft-user-default-low",
            "managePermissionGrantsForOwnedResource.{other-current-policies}"
        ]
    }
}

Sugerencia

Para permitir que los usuarios soliciten la revisión y aprobación de un administrador de una aplicación a la que el usuario no puede dar su consentimiento, habilite el flujo de trabajo de consentimiento del administrador. Por ejemplo, puede hacerlo cuando se haya deshabilitado el consentimiento del usuario o cuando una aplicación solicite permisos que el usuario no puede conceder.

Pasos siguientes