Configurar como os usuários dão consentimento para aplicativos

Neste artigo, você aprenderá a configurar a maneira como os usuários consentem com aplicativos e como desabilitar todas as operações futuras de consentimento do usuário para aplicativos.

Antes que um aplicativo possa acessar os dados da sua organização, um usuário precisa conceder permissões ao aplicativo para isso. Permissões diferentes permitem diferentes níveis de acesso. Por padrão, todos os usuários têm permissão para consentir nos aplicativos em relação a permissões que não exijam o consentimento do administrador. Por exemplo, por padrão, um usuário pode permitir que um aplicativo acesse sua caixa de correio, mas não pode permitir que um aplicativo tenha acesso irrestrito para ler e gravar em todos os arquivos em sua organização.

Para reduzir o risco de aplicativos mal-intencionados tentarem induzir os usuários a conceder acesso aos dados da sua organização, recomendamos que você permita o consentimento do usuário apenas em aplicativos que foram publicados por um fornecedor verificado.

Importante

A partir de 30 de setembro de 2022, a nova configuração de consentimento padrão para novos locatários poderá seguir a recomendação da Microsoft. A recomendação inicial da Microsoft nesse momento será que os usuários finais não possam consentir com aplicativos multilocatário sem a verificação do editor se o aplicativo solicitar permissões básicas, como entrar e ler permissões de perfil de usuário.

Pré-requisitos

Para configurar o consentimento do usuário, você precisa de:

• De uma conta de usuário. Se ainda não tem uma, crie uma conta gratuita.
• De uma função de Administrador com privilégios ou de Administrador Global.

O portal do Azure

Configurar as configurações de consentimento do usuário

Para definir as configurações de consentimento do usuário por meio do portal do Azure:

1. Entre no portal do Azure como um Administrador Global.

2. Selecione Azure Active Directory>Aplicativos empresariais>Consentimento e permissões>Configurações de consentimento do usuário.

3. Em Consentimento do usuário para aplicativos, selecione a configuração de consentimento que você deseja configurar para todos os usuários.

4. Selecione salvar para salvar suas configurações.

PowerShell

Para escolher qual política de consentimento de aplicativo rege o consentimento do usuário para aplicativos, você pode usar o módulo mais recente do Azure AD PowerShell.

Observação

As instruções a seguir usam o módulo do PowerShell do Azure AD (Azure Active Directory) em disponibilidade geral. Os nomes de parâmetro são diferentes na versão prévia deste módulo (AzureADPreview). Se você tiver ambos os módulos instalados, verifique se está usando o cmdlet do módulo correto executando primeiro:

Remove-Module AzureADPreview -ErrorAction SilentlyContinue
Import-Module AzureAD

Desabilitar o consentimento do usuário

Para desabilitar o consentimento do usuário, defina as políticas de consentimento que regem o consentimento do usuário como vazio:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @() }

Permitir o consentimento do usuário sujeito a uma política de consentimento do aplicativo

Para permitir o consentimento do usuário, escolha qual política de consentimento do aplicativo deve reger a autorização dos usuários para conceder consentimento aos aplicativos:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.{consent-policy-id}") }

Substitua {consent-policy-id} pela ID da política que deseja aplicar. Você pode escolher uma política de consentimento de aplicativo personalizada que você criou ou pode escolher entre as seguintes políticas internas:

ID	Descrição
microsoft-user-default-low	Permitir o consentimento do usuário para aplicativos de editores verificados, para permissões selecionadas Permita o consentimento limitado do usuário somente para aplicativos de editores verificados e aplicativos que são registrados no seu locatário e somente para permissões que você classifica como Baixo impacto. (Lembre-se de Classifique as permissões para selecionar quais permissões os usuários têm permissão para consentir.)
microsoft-user-default-legacy	Permitir o consentimento do usuário para aplicativos Essa opção permite que todos os usuários consintam qualquer permissão que não exija o consentimento do administrador, para qualquer aplicativo

Por exemplo, para habilitar o consentimento do usuário sujeito à política interna microsoft-user-default-low, execute os seguintes comandos:

Set-AzureADMSAuthorizationPolicy -DefaultUserRolePermissions @{
    "PermissionGrantPoliciesAssigned" = @("managePermissionGrantsForSelf.microsoft-user-default-low") }

Dica

Para permitir que os usuários solicitem a revisão e a aprovação de um aplicativo do administrador que o usuário não tem permissão para consentir, habilita o fluxo de trabalho de consentimento do administrador. Por exemplo, você pode fazer isso quando o consentimento do usuário tiver sido desabilitado ou quando um aplicativo estiver solicitando permissões que o usuário não tem permissão para conceder.

Próximas etapas

• Gerenciar as políticas de consentimento do aplicativo
• Configurar o fluxo de trabalho de consentimento do administrador