Configuración de las clasificaciones de los permisos

En este artículo va a aprender a configurar clasificaciones de permisos en Azure Active Directory (Azure AD). Las clasificaciones de permisos permiten identificar el impacto que tienen los distintos permisos según las evaluaciones de riesgo y las directivas de la organización. Por ejemplo, puede usar las clasificaciones de permisos en las directivas de consentimiento para identificar el conjunto de permisos a los que los usuarios pueden dar su consentimiento.

Actualmente, solo se admite la clasificación de permisos de "bajo impacto". Solo los permisos delegados que no requieren el consentimiento del administrador se pueden clasificar como "bajo impacto".

Los permisos mínimos necesarios para realizar el inicio de sesión básico son openid, profile, email, User.Read y offline_access, puesto que son todos los permisos delegados en Microsoft Graph. Con estos permisos, una aplicación puede leer los detalles completos del perfil del usuario que ha iniciado sesión y puede mantener este acceso incluso cuando el usuario ya no usa la aplicación.

Prerrequisitos

Para configurar clasificaciones de permisos necesita:

  • Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
  • Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.

Administración de las clasificaciones de los permisos

Siga estos pasos para clasificar los permisos mediante Azure Portal:

  1. Inicie sesión en Azure Portal como Administrador global, Administrador de aplicaciones o Administrador de aplicaciones en la nube.
  2. Seleccione Azure Active DirectoryAplicaciones empresarialesConsentimiento y permisosClasificaciones de permisos.
  3. Elija Agregar permisos para clasificar otro permiso como "bajo impacto".
  4. Seleccione la API y, después, seleccione los permisos delegados.

En este ejemplo, hemos clasificado el conjunto mínimo de permisos necesarios para el inicio de sesión único:

Permission classifications

Pasos siguientes

Para obtener más información: