Configurer le consentement de l’utilisateur final pour une application

Vous pouvez intégrer vos applications avec la plateforme d’identités Microsoft pour permettre à des utilisateurs de se connecter à l’aide de leur compte professionnel ou scolaire, et d’accéder aux données de votre organisation afin d’offrir des expériences riches pilotées par les données.

Pour qu’une application puisse accéder aux données de votre organisation, un utilisateur doit lui accorder les autorisations nécessaires. Les différentes autorisations ont trait à des niveaux d’accès différents. Par défaut, tous les utilisateurs peuvent accorder à des applications des autorisations qui ne nécessitent pas de consentement de l’administrateur. Par exemple, par défaut, un utilisateur peut autoriser une application à accéder à sa boîte aux lettres, mais ne peut pas l’autoriser à accéder en lecture et en écriture à tous les fichiers de votre organisation.

Si les utilisateurs peuvent autoriser des applications à accéder à des données, il peuvent facilement acquérir des applications utiles et être productifs. Toutefois, dans certains cas, une telle configuration peut constituer un risque si elle n’est pas analysée et contrôlée avec soin.

Important

Pour réduire le risque d’exposition à des applications malveillantes tentant d’amener les utilisateurs à leur accorder l’accès aux données de votre organisation, nous vous recommandons de permettre à l’utilisateur d’autoriser uniquement des applications publiées par un serveur de publication vérifié.

Les stratégies de consentement d’application décrivent les conditions qui doivent être remplies pour qu’une application puisse faire l’objet d’un consentement. Ces stratégies peuvent inclure des conditions sur l’application qui demande l’accès, ainsi que les autorisations demandées par l’application.

En choisissant les stratégies de consentement de l’application qui s’appliquent à tous les utilisateurs, vous pouvez définir des limites lorsque les utilisateurs finaux sont autorisés à accorder leur consentement aux applications et quand ils devront demander la révision et l’approbation par l’administrateur :

  • Désactiver le consentement de l’utilisateur : les utilisateurs ne peuvent pas accorder d’autorisations aux applications. Les utilisateurs peuvent continuer à se connecter aux applications qu’ils ont précédemment autorisées ou que des administrateurs ont autorisées en leur nom, mais ils ne sont pas autorisés à accorder de nouvelles autorisations ou à autoriser de nouvelles applications. Seuls les utilisateurs auxquels est dévolu un rôle d’annuaire comprenant l’autorisation de donner un consentement sont en mesure de donner leur consentement à de nouvelles applications.

  • Les utilisateurs peuvent accorder des autorisations à des applications d’éditeurs de votre organisation vérifiés, mais uniquement les autorisations que vous sélectionnez : les utilisateurs ne peuvent accorder des autorisations qu’à des applications publiées par un serveur de publication vérifié et inscrites dans votre locataire. Les utilisateurs ne peuvent accorder que des autorisations classifiées comme ayant un « faible impact ». Vous devez classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.

  • Les utilisateurs peuvent accorder des autorisations à toutes les applications : cette option permet à tout utilisateur d’accorder à toute application toute autorisation ne nécessitant pas de consentement de l’administrateur.

  • Stratégie de consentement d’application personnalisée : pour encore plus d’options sur les conditions qui régissent le consentement de l’utilisateur, vous pouvez créer une stratégie de consentement d’application personnalisée et la configurer pour qu’elle s’applique au consentement de l’utilisateur.

Pour configurer les paramètres de consentement de l’utilisateur via le portail Azure :

  1. Connectez-vous au portail Azure en tant qu’Administrateur général.
  2. Sélectionnez Azure Active Directory > Applications d’entreprise > Consentement et autorisations > Paramètres de consentement de l’utilisateur.
  3. Sous Consentement de l’utilisateur pour les applications, sélectionnez le paramètre de consentement que vous souhaitez configurer pour tous les utilisateurs.
  4. Sélectionnez Save (Enregistrer) pour enregistrer vos paramètres.

Paramètres de consentement de l’utilisateur

Conseil

Activer le flux de travail de consentement administrateur pour autoriser les utilisateurs à demander à un administrateur la révision et l’approbation d’une application pour laquelle ils ne sont pas autorisés à donner leur consentement, par exemple, si le consentement de l’utilisateur a été désactivé ou si l’application demande des autorisations que l’utilisateur n’est pas autorisé à accorder.

La réaffectation du consentement en fonction des risques contribue à réduire l’exposition des utilisateurs aux applications malveillantes qui font des demandes de consentement illicites. Si Microsoft détecte une demande de consentement de l’utilisateur final à risque, la demande nécessitera une « évolution » vers le consentement de l’administrateur à la place. Cette fonctionnalité est activée par défaut, mais elle entraînera un changement de comportement uniquement lorsque le consentement de l’utilisateur final sera activé.

Quand une demande de consentement à risque est détectée, l’invite de consentement affiche un message indiquant que l’approbation de l’administrateur est requise. Si le flux de travail de demande de consentement de l’administrateur est activé, l’utilisateur peut envoyer la demande à un administrateur pour révision ultérieure, directement à partir de l’invite de consentement. S’il n’est pas activé, le message suivant s’affiche :

  • AADSTS90094 : <clientAppDisplayName> a besoin d’une autorisation pour accéder aux ressources de votre organisation, et cet accès ne peut être autorisé que par un administrateur. Veuillez demander à un administrateur d’accorder une autorisation pour cette application avant de pouvoir l’utiliser.

Dans ce cas, un événement d’audit est également journalisé avec la catégorie « ApplicationManagement », le type d’activité « Consent to application » et le motif de statut « Risky application detected ».

Important

Les administrateurs doivent évaluer toutes les demandes de consentement soigneusement avant d’approuver une demande, en particulier quand Microsoft a détecté un risque.

Vous pouvez utiliser le module Azure AD PowerShell en préversion, AzureADPreview, pour désactiver la réaffectation à l’administrateur du consentement requis quand Microsoft détecte un risque, ou pour la réactiver si elle a été précédemment désactivée.

  1. Vérifiez que vous utilisez le module AzureADPreview. Cette étape est importante si vous avez installé les modules AzureAD et AzureADPreview).

    Remove-Module AzureAD
    Import-Module AzureADPreview
    
  2. Connectez-vous à Azure AD PowerShell.

    Connect-AzureAD
    
  3. Récupérez la valeur actuelle des paramètres d’annuaire Consent Policy Settings (Paramètres de stratégie de consentement) dans votre locataire. Pour cela, vous devez vérifier si les paramètres d’annuaire de cette fonctionnalité ont été créés et, si ce n’est pas le cas, utiliser les valeurs du Modèle de paramètres d’annuaire correspondant.

    $consentSettingsTemplateId = "dffd5d46-495d-40a9-8e21-954ff55e198a" # Consent Policy Settings
    $settings = Get-AzureADDirectorySetting -All $true | Where-Object { $_.TemplateId -eq $consentSettingsTemplateId }
    
    if (-not $settings) {
        $template = Get-AzureADDirectorySettingTemplate -Id $consentSettingsTemplateId
        $settings = $template.CreateDirectorySetting()
    }
    
    $riskBasedConsentEnabledValue = $settings.Values | ? { $_.Name -eq "BlockUserConsentForRiskyApps" }
    
  4. Comprendre la valeur des paramètres :

    Paramètre Type Description
    BlockUserConsentForRiskyApps Boolean Indicateur qui spécifie si le consentement de l’utilisateur est bloqué lorsqu’une demande risquée est détectée.
  5. Mettez à jour la valeur des paramètres pour la configuration souhaitée :

    # Disable risk-based step-up consent entirely
    $riskBasedConsentEnabledValue.Value = "False"
    
    # Re-enable risk-based step-up consent, if disabled previously
    $riskBasedConsentEnabledValue.Value = "True"
    
  6. Enregistrez vos paramètres.

    if ($settings.Id) {
        # Update an existing directory settings
        Set-AzureADDirectorySetting -Id $settings.Id -DirectorySetting $settings
    } else {
        # Create a new directory settings to override the default setting 
        New-AzureADDirectorySetting -DirectorySetting $settings
    }
    

Étapes suivantes

Pour en savoir plus :

Pour obtenir de l’aide ou trouver des réponses à vos questions :