Concesión del consentimiento del administrador para todo el inquilino a una aplicación

En este artículo va a aprender a conceder consentimiento del administrador para todo el inquilino a una aplicación en Azure Active Directory (Azure AD).

Al conceder el consentimiento del administrador de todo el inquilino a una aplicación, todos los usuarios pueden iniciar sesión en la aplicación. Para restringir qué usuarios pueden iniciar sesión en una aplicación, configure esta de modo que requiera asignación de usuarios y luego asigne usuarios o grupos a la aplicación.

El consentimiento del administrador para todo el inquilino a una aplicación concede acceso a la aplicación y al publicador de esta a los datos de la organización. Antes de conceder el consentimiento, repase cuidadosamente los permisos que solicita la aplicación. Para más información acerca de cómo dar consentimiento a las aplicaciones, consulte Marco de consentimiento de Azure Active Directory.

La concesión del consentimiento del administrador para todo el inquilino puede revocar los permisos concedidos previamente para todo el inquilino. Los permisos concedidos previamente por los usuarios en su propio nombre no se verán afectados.

Prerrequisitos

La concesión del consentimiento del administrador para todo el inquilino requiere que inicie sesión como un usuario que esté autorizado para dar su consentimiento en nombre de la organización.

Para conceder consentimiento del administrador para todo el inquilino necesita:

  • Una cuenta de usuario de Azure AD con uno de los roles siguientes:
    • Administrador global o administrador de roles con privilegios. Con estos roles, puede conceder consentimientos para las aplicaciones que soliciten cualquier permiso de cualquier API.
    • Administrador de aplicaciones en la nube o administrador de aplicaciones. Con estos roles, puede conceder consentimientos para las aplicaciones que soliciten cualquier permiso de cualquier API, excepto los roles de aplicación de Azure AD Graph o Microsoft Graph (permisos de aplicación).
    • Rol de directorio personalizado que incluye el permiso para conceder permisos para las aplicaciones.

Puede conceder el consentimiento del administrador para todo el inquilino a través de Aplicaciones empresariales si la aplicación ya se ha aprovisionado en el inquilino. Por ejemplo, se podría aprovisionar una aplicación en el inquilino si al menos un usuario ya ha dado su consentimiento a la aplicación. Para más información, vea Cómo y por qué se agregan aplicaciones a Azure AD.

Para conceder el consentimiento del administrador para todo el inquilino a una de las aplicaciones mostradas en Aplicaciones empresariales:

  1. Inicie sesión en Azure Portal con uno de los roles indicados en la sección de requisitos previos.

  2. Seleccione Azure Active Directory y, luego, Aplicaciones empresariales.

  3. Seleccione la aplicación a la que quiere conceder consentimiento del administrador para todo el inquilino y luego seleccione Permisos. Screenshot shows how to grant tenant-wide admin consent.

  4. Repase cuidadosamente los permisos que requiere la aplicación. Si está de acuerdo con los permisos que requiere la aplicación, seleccione Conceder consentimiento del administrador.

Para las aplicaciones desarrolladas por la organización, o bien las que se hayan registrado directamente en el inquilino de Azure AD, también puede conceder el consentimiento del administrador para todo el inquilino desde Registros de aplicaciones en Azure Portal.

Para conceder el consentimiento del administrador para todo el inquilino desde Registros de aplicaciones:

  1. Inicie sesión en Azure Portal con uno de los roles indicados en la sección de requisitos previos.
  2. Seleccione Azure Active Directory y luego Registros de aplicaciones.
  3. Seleccione la aplicación a la que quiera conceder el consentimiento del administrador para todo el inquilino.
  4. Seleccione Permisos de API.
  5. Repase cuidadosamente los permisos que requiere la aplicación. Si está de acuerdo, seleccione Conceder consentimiento del administrador.

Al conceder el consentimiento del administrador para todo el inquilino con cualquiera de los métodos descritos antes, se abre una ventana desde Azure Portal para solicitar el consentimiento del administrador para todo el inquilino. Si conoce el identificador de cliente (también conocido como id. de la aplicación) de la aplicación, puede crear la misma dirección URL para conceder consentimiento del administrador para todo el inquilino.

La dirección URL de consentimiento del administrador para todo el inquilino tiene el formato siguiente:

https://login.microsoftonline.com/{tenant-id}/adminconsent?client_id={client-id}

donde:

  • {client-id} es el identificador de cliente de la aplicación (también conocido como id. de la aplicación).
  • {tenant-id} es el identificador de inquilino de la organización o cualquier nombre de dominio comprobado.

Como siempre, antes de conceder el consentimiento, revise con atención los permisos que solicita la aplicación.

Pasos siguientes

Configuración del consentimiento de los usuarios finales a las aplicaciones

Configuración del flujo de trabajo de consentimiento del administrador