Consentement utilisateur et administrateur dans Microsoft Entra ID

  • Article

Dans cet article, vous allez découvrir les concepts et scénarios fondamentaux du consentement utilisateur et administrateur dans Microsoft Entra ID.

Le consentement est un processus dans lequel les utilisateurs peuvent accorder à une application l’autorisation d’accéder à une ressource protégée. Pour indiquer le niveau d’accès requis, une application demande les autorisations d’API dont elle a besoin. Par exemple, une application peut demander l’autorisation de consulter le profil d’un utilisateur connecté et de lire le contenu de la boîte aux lettres de l’utilisateur.

Le consentement peut être initié de différentes façons. Par exemple, des utilisateurs peuvent être invités à donner leur consentement quand ils tentent de se connecter à une application pour la première fois. Selon les autorisations dont ils ont besoin, certaines applications peuvent exiger qu’un administrateur donne son consentement.

Un utilisateur peut autoriser une application à accéder à certaines données de la ressource protégée en agissant en son nom. Les autorisations permettant ce type d’accès sont appelées « autorisations déléguées ».

Le consentement de l’utilisateur est généralement initié quand un utilisateur se connecte à une application. Une fois que l’utilisateur a fourni les informations d’identification de connexion, celles-ci sont vérifiées pour déterminer si le consentement a déjà été accordé. S’il n’existe aucun enregistrement antérieur de consentement d’utilisateur ou d’administrateur pour les autorisations requises, l’utilisateur est dirigé vers la fenêtre d’invite de consentement afin d’accorder à l’application les autorisations demandées.

L’octroi du consentement de l’utilisateur par des non-administrateurs n’est possible que dans des organisations où le consentement de l’utilisateur est autorisé pour l’application et pour le jeu d’autorisations que l’application requiert. Si le consentement de l’utilisateur est désactivé ou si les utilisateurs ne sont pas autorisés à octroyer les autorisations demandées, ils ne sont pas invités à donner leur consentement. Si les utilisateurs sont autorisés à donner leur consentement et qu’ils accordent les autorisations demandées, le consentement est enregistré et ils n’ont généralement pas à renouveler leur consentement pour des connexions futures à la même application.

Les utilisateurs contrôlent leurs données. Un administrateur privilégié peut configurer la possibilité pour des utilisateurs non-administrateurs d’accorder le consentement de l’utilisateur à une application. Ce paramètre peut prendre en compte des aspects de l’application et de l’éditeur de l’application, ainsi que les autorisations demandées.

En tant qu’administrateur, vous pouvez choisir si le consentement de l’utilisateur est autorisé. Si vous choisissez d’autoriser le consentement de l’utilisateur, vous pouvez également choisir les conditions à remplir pour qu’une application puisse recevoir le consentement d’un utilisateur.

En choisissant les stratégies de consentement de l’application qui s’appliquent à tous les utilisateurs, vous pouvez définir des limites en lien avec les moments où les utilisateurs sont autorisés à accorder leur consentement aux applications, et où ils devront demander la révision et l’approbation par l’administrateur. Le centre d’administration Microsoft Entra intègre les options suivantes :

  • Vous pouvez désactiver le consentement de l’utilisateur. Les utilisateurs ne peuvent pas accorder d’autorisations d’accès aux applications. Les utilisateurs continuent de se connecter aux applications auxquelles ils ont déjà autorisé l’accès ou aux applications auxquelles les administrateurs ont autorisé l’accès en leur nom, mais ils ne sont pas autorisés à octroyer de nouvelles autorisations d’accès aux applications. Seuls les utilisateurs auxquels est dévolu un rôle d’annuaire comprenant l’autorisation de donner leur consentement peuvent le faire pour de nouvelles applications.

  • Les utilisateurs peuvent consentir à l’accès à des applications d’éditeurs vérifiés ou de votre organisation, mais uniquement en lien avec des autorisations que vous sélectionnez. Les utilisateurs ne peuvent accorder l’accès qu’à des applications publiées par un éditeur vérifié et inscrites dans votre locataire. Les utilisateurs ne peuvent octroyer que des autorisations que vous avez classifiées comme ayant un faible impact. Vous devez classifier les autorisations pour sélectionner les autorisations que les utilisateurs peuvent accorder.

  • Les utilisateurs peuvent octroyer l’accès à toutes les applications. Cette option permet à tout utilisateur d’accorder à une application quelconque toute autorisation ne nécessitant pas de consentement de l’administrateur.

Pour la plupart des organisations, l’une des options intégrées est appropriée. Certains clients avancés peuvent souhaiter mieux contrôler les conditions qui régissent le moment où les utilisateurs sont autorisés à donner leur consentement. Ces clients peuvent créer une stratégie de consentement d’application personnalisée et configurer ces stratégies pour qu’elles s’appliquent au consentement de l’utilisateur.

Lors du consentement de l’administrateur, un administrateur privilégié peut accorder l’accès à une application au nom d’autres utilisateurs (généralement, au nom de l’organisation entière). En outre, pendant l’octroi du consentement de l’administrateur, les applications ou les services fournissent un accès direct à une API que l’application peut utiliser si aucun utilisateur n’est connecté. Le rôle spécifique nécessaire pour octroyer le consentement administrateur diffère en fonction des autorisations demandées, qui sont décrites dans l’article Accorder le consentement administrateur.

Quand votre organisation achète une licence ou un abonnement pour une nouvelle application, vous pouvez configurer l’application de manière proactive afin que tous les utilisateurs au sein de l’organisation puissent l’utiliser. Pour éviter la nécessité du consentement de l’utilisateur, un administrateur peut accorder l’accès à l’application au nom de tous les utilisateurs au sein de l’organisation.

Une fois qu’un administrateur donne un consentement d’administrateur au nom de l’organisation, les utilisateurs ne sont généralement pas invités à donner leur consentement pour l’accès à cette application. Dans certains cas, un utilisateur peut être invité à donner son consentement, même après qu’un administrateur a donné son consentement. C’est le cas, par exemple, si une application demande une autre autorisation que l’administrateur n’a pas encore donnée.

L’octroi du consentement de l’administrateur au nom d’une organisation est une opération sensible qui autorise potentiellement l’éditeur de l’application à accéder à des portions importantes des données de l’organisation ou à effectuer des opérations assorties de privilèges élevés. Il peut s’agir, par exemple, d’opérations de gestion des rôles, d’accès complet à toutes les boîtes aux lettres ou à tous les sites, et d’emprunt d’identité d’utilisateur complet.

Avant d’accorder un consentement d’administrateur à l’échelle du locataire, vous devez faire pleinement confiance à l’application et à l’éditeur de celle-ci, pour le niveau d’accès que vous accordez. Si vous n’êtes pas certain de savoir qui contrôle l’application et pourquoi celle-ci demande des autorisations, n’accordez pas de consentement.

Pour obtenir des instructions pas à pas sur l’octroi d’un consentement d’administrateur d’application, consultez Évaluation d’une demande de consentement de l’administrateur au niveau du locataire.

Pour obtenir des instructions pas à pas sur l’octroi du consentement administrateur à l’échelle d’un locataire à partir du centre d’administration Microsoft Entra, consultez Accorder le consentement administrateur au niveau locataire à une application.

Au lieu d’octroyer un consentement pour une organisation entière, un administrateur peut utiliser l’API Microsoft Graph pour accorder un des autorisations déléguées pour le compte d’un seul utilisateur. Pour obtenir un exemple détaillé de l’utilisation de Microsoft Graph PowerShell, consultez Accorder le consentement pour le compte d’un utilisateur unique à l’aide de PowerShell.

Limiter l’accès utilisateur à une application

L’accès utilisateur aux applications peut toujours être limité, même si le consentement de l’administrateur à l’échelle du locataire a été accordé. Configurez les propriétés de l’application pour exiger l’affectation d’utilisateurs afin de limiter l’accès utilisateur à l’application. Pour plus d'informations, voir Méthodes d'affectation d'utilisateurs et de groupes.

Pour une vue d’ensemble plus large incluant la façon de gérer d’autres scénarios complexes, consultez Utiliser Microsoft Entra ID pour la gestion des accès aux applications.

Le flux de travail de consentement de l’administrateur offre aux utilisateurs un moyen de demander le consentement de l’administrateur pour accéder à des applications quand ils ne sont pas autorisés à y consentir eux-mêmes. Quand le flux de travail de consentement de l’administrateur est activé, une fenêtre « Approbation requise » est présentée aux utilisateurs, qui leur permet de demander l’approbation de l’administrateur pour accéder à l’application.

Une fois que les utilisateurs ont envoyé la demande de consentement de l’administrateur, les administrateurs désignés comme réviseurs reçoivent une notification. Les utilisateurs sont avertis quand un réviseur a agi sur leur demande. Pour obtenir des instructions pas à pas sur la configuration du workflow du consentement administrateur à l’aide du centre d’administration Microsoft Entra, consultez Configurer le workflow du consentement administrateur.

Une fois le flux de travail de consentement de l’administrateur activé, les utilisateurs peuvent demander l’approbation de l’administrateur en lien avec une application pour laquelle ils ne sont pas autorisés à donner leur consentement. Voici les étapes du processus :

  1. Un utilisateur tente de se connecter à l’application.
  2. Le message Approbation requise s’affiche. L’utilisateur indique pourquoi il a besoin d’accéder à l’application, puis sélectionne « Demander l’approbation ».
  3. Un message Demande envoyée confirme que la demande a été envoyée à l’administrateur. Si l’utilisateur envoie plusieurs requêtes, seule la première est envoyée à l’administrateur.
  4. L’utilisateur reçoit une notification par e-mail une fois sa requête approuvée, refusée ou bloquée.

Étapes suivantes