Compreender as experiências de consentimento da aplicação do Azure AD

Saiba mais sobre a experiência do utilizador de consentimento da aplicação Azure Active Directory (AAD). Assim, pode gerir inteligentemente aplicações para a sua organização e/ou desenvolver aplicações com uma experiência de consentimento mais perfeita.

Consentimento é o processo de um utilizador que concede autorização a um pedido de acesso a recursos protegidos em seu nome. Um administrador ou utilizador pode ser solicitado consentimento para permitir o acesso à sua organização/dados individuais.

A experiência real do utilizador de conceder o consentimento diferirá consoante as políticas definidas no arrendatário do utilizador, o âmbito de autoridade (ou função) do utilizador e o tipo de permissões solicitadas pela aplicação do cliente. Isto significa que os desenvolvedores de aplicações e administradores inquilinos têm algum controlo sobre a experiência de consentimento. Os administradores têm a flexibilidade de definir e desativar políticas num inquilino ou app para controlar a experiência de consentimento no seu inquilino. Os desenvolvedores de aplicações podem ditar que tipos de permissões estão a ser solicitadas e se pretendem orientar os utilizadores através do fluxo de consentimento do utilizador ou do fluxo de consentimento administrativo.

  • O fluxo de consentimento do utilizador é quando um desenvolvedor de aplicações direciona os utilizadores para o ponto final da autorização com a intenção de registar o consentimento apenas para o utilizador atual.
  • O fluxo de consentimento da administração é quando um desenvolvedor de aplicações direciona os utilizadores para o ponto final de consentimento administrativo com a intenção de registar o consentimento para todo o inquilino. Para garantir que o fluxo de consentimento administrativo funcione corretamente, os desenvolvedores de aplicações devem listar todas as permissões na RequiredResourceAccess propriedade no manifesto de aplicação. Para mais informações, consulte o manifesto de aplicação.

O pedido de consentimento foi concebido para garantir que os utilizadores têm informações suficientes para determinar se confiam na aplicação do cliente para aceder a recursos protegidos em seu nome. Compreender os blocos de construção ajudará os utilizadores a conceder o consentimento a tomar decisões mais informadas e ajudará os desenvolvedores a construir melhores experiências de utilizador.

O diagrama e tabela seguintes fornecem informações sobre os blocos de construção do pedido de consentimento.

Building blocks of the consent prompt

# Componente Objetivo
1 Identificador de utilizador Este identificador representa o utilizador que a aplicação do cliente está a solicitar para aceder a recursos protegidos em nome de.
2 Título O título muda com base no facto de os utilizadores estarem a passar pelo fluxo de consentimento do utilizador ou administração. No fluxo de consentimento do utilizador, o título será "Permissões solicitadas" enquanto no fluxo de consentimento administrativo o título terá uma linha adicional "Aceitar para a sua organização".
3 Logótipo da aplicação Esta imagem deve ajudar os utilizadores a ter uma pista visual sobre se esta aplicação é a aplicação a que se destinavam a aceder. Esta imagem é fornecida pelos desenvolvedores de aplicações e a propriedade desta imagem não é validada.
4 Nome da aplicação Este valor deve informar os utilizadores sobre qual a aplicação que solicita o acesso aos seus dados. Note que este nome é fornecido pelos desenvolvedores e a propriedade deste nome da aplicação não é validada.
5 Publisher nome e verificação O crachá azul "verificado" significa que o editor da aplicação verificou a sua identidade usando uma conta da Microsoft Partner Network e completou o processo de verificação. Se a aplicação for verificada pelo editor, o nome da editora é apresentado. Se a aplicação não for verificada pela editora, "Não verificada" é apresentada em vez de um nome de editor. Para mais informações, leia sobre Publisher Verificação. A seleção do nome da editora apresenta mais informações de aplicações disponíveis, como o nome da editora, o domínio da editora, a data criada, os detalhes da certificação e os URLs de resposta.
6 Certificação Microsoft 365 O logótipo da certificação Microsoft 365 significa que uma aplicação foi verificada contra controlos derivados de quadros padrão do setor líderes, e que existem práticas fortes de segurança e conformidade para proteger os dados dos clientes. Para mais informações, leia sobre Microsoft 365 Certificação.
7 Informações do Publicador Mostra se a aplicação é publicada pela Microsoft.
8 Permissões Esta lista contém as permissões solicitadas pela aplicação do cliente. Os utilizadores devem sempre avaliar os tipos de permissões que são solicitadas para entender que dados a aplicação do cliente será autorizada a aceder em seu nome se aceitar. Como desenvolvedor de aplicações, o melhor é solicitar acesso, às permissões com menos privilégio.
9 Descrição da permissão Este valor é fornecido pelo serviço expondo as permissões. Para ver as descrições da permissão, deve alternar o chevron ao lado da permissão.
10 https://myapps.microsoft.com Este é o link onde os utilizadores podem rever e remover quaisquer aplicações não Microsoft que tenham atualmente acesso aos seus dados.
11 Reporte aqui Este link é usado para relatar uma aplicação suspeita se não confia na app, se acredita que a app está a fazer-se passar por outra app, se acredita que a app irá utilizar indevidamente os seus dados, ou por qualquer outra razão.

App requer uma permissão dentro do âmbito de autoridade do utilizador

Um cenário comum de consentimento é que o utilizador acede a uma aplicação que requer um conjunto de permissões que esteja dentro do âmbito de autoridade do utilizador. O utilizador é direcionado para o fluxo de consentimento do utilizador.

Os administradores verão um controlo adicional sobre o consentimento tradicional que lhes permitirá consentir em nome de todo o inquilino. O controlo será incumprido, por isso só quando os administradores verificarem explicitamente a caixa será concedido em nome de todo o inquilino. A partir de hoje, esta caixa de verificação só será apresentada para o papel de Administrador Global, por isso a Cloud Admin e a App Admin não verão esta caixa de verificação.

Consent prompt for scenario 1a

Os utilizadores verão o pedido de consentimento tradicional.

Screenshot that shows the traditional consent prompt.

App requer uma permissão fora do âmbito de autoridade do utilizador

Outro cenário comum de consentimento é que o utilizador acede a uma app que requer pelo menos uma permissão que esteja fora do âmbito de autoridade do utilizador.

Os administradores verão um controlo adicional sobre o consentimento tradicional que lhes permitirá consentir em nome de todo o inquilino.

Consent prompt for scenario 1a

Os utilizadores não administrativos serão impedidos de conceder o consentimento à aplicação, e serão aconselhados a pedir ao seu administrador acesso à app.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Outro cenário comum é quando o utilizador navega para ou é direcionado para o fluxo de consentimento administrativo.

Os utilizadores de administração verão o pedido de consentimento administrativo. O título e as descrições de permissão alteradas neste pedido, as alterações destacam o facto de que aceitar esta solicitação dará acesso à app aos dados solicitados em nome de todo o arrendatário.

Consent prompt for scenario 3a

Os utilizadores não administrativos serão impedidos de conceder o consentimento à aplicação, e serão aconselhados a pedir ao seu administrador acesso à app.

Screenshot of the consent prompt telling the user to ask an admin for access to the app.

Passos seguintes