Partilhar via

Consentimento de utilizador e administrador no Microsoft Entra ID

  • Artigo

Neste artigo, você aprenderá os conceitos e cenários fundamentais em torno do consentimento de usuário e administrador no Microsoft Entra ID.

O consentimento é um processo no qual os usuários podem conceder permissão para um aplicativo acessar um recurso protegido. Para indicar o nível de acesso necessário, um aplicativo solicita as permissões de API necessárias. Por exemplo, um aplicativo pode solicitar a permissão para ver o perfil de um usuário conectado e ler o conteúdo da caixa de correio do usuário.

O consentimento pode ser iniciado de várias formas. Por exemplo, os usuários podem ser solicitados a dar consentimento quando tentam entrar em um aplicativo pela primeira vez. Dependendo das permissões necessárias, alguns aplicativos podem exigir que um administrador seja quem concede consentimento.

Um usuário pode autorizar um aplicativo a acessar alguns dados no recurso protegido, enquanto age como esse usuário. As permissões que permitem esse tipo de acesso são chamadas de "permissões delegadas".

O consentimento do usuário geralmente é iniciado quando um usuário entra em um aplicativo. Depois que o usuário fornece credenciais de entrada, eles são verificados para determinar se o consentimento já foi concedido. Se não existir nenhum registro anterior de consentimento de usuário ou administrador para as permissões necessárias, o usuário será direcionado para a janela de prompt de consentimento para conceder ao aplicativo as permissões solicitadas.

O consentimento do usuário por não-administradores só é possível em organizações onde o consentimento do usuário é permitido para o aplicativo e para o conjunto de permissões que o aplicativo exige. Se o consentimento do usuário estiver desabilitado ou se os usuários não tiverem permissão para consentir as permissões solicitadas, eles não serão solicitados a dar consentimento. Se os usuários tiverem permissão para consentir e aceitarem as permissões solicitadas, o consentimento será registrado e eles geralmente não precisarão consentir novamente em futuros logins no mesmo aplicativo.

Os utilizadores controlam os seus dados. Um Administrador Privilegiado pode configurar se os usuários não administradores têm permissão para conceder consentimento de usuário a um aplicativo. Essa configuração pode levar em conta aspetos do aplicativo e do editor do aplicativo, bem como as permissões que estão sendo solicitadas.

Como administrador, você pode escolher se o consentimento do usuário é permitido. Se optar por permitir o consentimento do utilizador, também pode escolher quais as condições que devem ser cumpridas antes de uma aplicação poder ser consentida por um utilizador.

Ao escolher quais políticas de consentimento de aplicativo se aplicam a todos os usuários, você pode definir limites sobre quando os usuários têm permissão para conceder consentimento aos aplicativos e sobre quando eles serão obrigados a solicitar revisão e aprovação do administrador. O centro de administração do Microsoft Entra fornece as seguintes opções internas:

  • Você pode desativar o consentimento do usuário. Os usuários não podem conceder permissões a aplicativos. Os utilizadores continuam a iniciar sessão em aplicações com as quais já consentiram anteriormente ou em aplicações às quais os administradores concederam consentimento em seu nome, mas não terão permissão para consentir novas permissões para aplicações por conta própria. Somente os usuários que receberam uma função de diretório que inclui a permissão para conceder consentimento podem consentir com novos aplicativos.

  • Os usuários podem consentir com aplicativos de editores verificados ou de sua organização, mas apenas para permissões selecionadas. Todos os usuários podem consentir apenas com aplicativos que foram publicados por um editor verificado e aplicativos que estão registrados em seu locatário. Os usuários podem consentir apenas com as permissões que você classificou como de baixo impacto. Você deve classificar as permissões para selecionar quais permissões os usuários têm permissão para consentir.

  • Os usuários podem consentir com todos os aplicativos. Essa opção permite que todos os usuários consintam com quaisquer permissões que não exijam consentimento do administrador, para qualquer aplicativo.

Para a maioria das organizações, uma das opções internas será apropriada. Alguns clientes avançados podem querer mais controle sobre as condições que regem quando os usuários têm permissão para consentir. Esses clientes podem criar políticas de consentimento de aplicativo personalizadas e configurá-las para serem aplicadas ao consentimento do usuário.

Durante o consentimento do administrador, um Administrador Privilegiado pode conceder acesso a um aplicativo em nome de outros usuários (geralmente, em nome de toda a organização). Também durante o consentimento do administrador, os aplicativos ou serviços fornecem acesso direto a uma API, que pode ser usada pelo aplicativo se não houver nenhum usuário conectado. A função específica necessária para conceder consentimento de administrador difere com base nas permissões solicitadas, descritas no artigo de consentimento de administrador de concessão.

Quando sua organização compra uma licença ou assinatura para um novo aplicativo, você pode querer configurar proativamente o aplicativo para que todos os usuários da organização possam usá-lo. Para evitar a necessidade de consentimento do usuário, um administrador pode conceder consentimento para o aplicativo em nome de todos os usuários da organização.

Depois que um administrador concede consentimento de administrador em nome da organização, os usuários geralmente não são solicitados a dar consentimento para esse aplicativo. Em certos casos, um usuário pode ser solicitado a dar consentimento mesmo depois que o consentimento foi concedido por um administrador. Um exemplo pode ser se um aplicativo solicitar outra permissão que o administrador ainda não tenha concedido.

Conceder consentimento de administrador em nome de uma organização é uma operação confidencial, potencialmente permitindo que o editor do aplicativo tenha acesso a partes significativas dos dados da organização ou a permissão para fazer operações altamente privilegiadas. Exemplos de tais operações podem ser o gerenciamento de funções, o acesso total a todas as caixas de correio ou a todos os sites e a representação total do usuário.

Antes de conceder o consentimento de administrador de todo o locatário, certifique-se de confiar no aplicativo e no editor do aplicativo para o nível de acesso que você está concedendo. Se você não tiver certeza de que entende quem controla o aplicativo e por que o aplicativo está solicitando as permissões, não conceda consentimento.

Para obter orientação passo a passo sobre como conceder ou não um consentimento de administrador de aplicativo, consulte Avaliando uma solicitação de consentimento de administrador em todo o locatário.

Para obter instruções passo a passo para conceder consentimento de administrador de todo o locatário do centro de administração do Microsoft Entra, consulte Conceder consentimento de administrador de todo o locatário a um aplicativo.

Em vez de conceder consentimento para uma organização inteira, um administrador também pode usar a API do Microsoft Graph para conceder consentimento a permissões delegadas em nome de um único usuário. Para obter um exemplo detalhado que usa o Microsoft Graph PowerShell, consulte Conceder consentimento em nome de um único usuário usando o PowerShell.

Limitar o acesso do usuário a um aplicativo

O acesso do usuário aos aplicativos ainda pode ser limitado, mesmo quando o consentimento do administrador de todo o locatário tiver sido concedido. Configure as propriedades do aplicativo para exigir a atribuição do usuário para limitar o acesso do usuário ao aplicativo. Para obter mais informações, consulte Métodos para atribuir usuários e grupos.

Para obter uma visão geral mais ampla, incluindo como lidar com outros cenários complexos, consulte Usar o Microsoft Entra ID para gerenciamento de acesso a aplicativos.

O fluxo de trabalho de consentimento de administrador oferece aos usuários uma maneira de solicitar consentimento de administrador para aplicativos quando eles não têm permissão para consentir. Quando o fluxo de trabalho de consentimento do administrador está habilitado, os usuários recebem uma janela "Aprovação necessária" para solicitar a aprovação do administrador para acessar o aplicativo.

Depois que os usuários enviam a solicitação de consentimento de administrador, os administradores que foram designados como revisores recebem uma notificação. Os usuários são notificados depois que um revisor atende a sua solicitação. Para obter instruções passo a passo sobre como configurar o fluxo de trabalho de consentimento de administrador usando o centro de administração do Microsoft Entra, consulte Configurar o fluxo de trabalho de consentimento de administrador.

Depois que o fluxo de trabalho de consentimento do administrador estiver habilitado, os usuários poderão solicitar a aprovação do administrador para um aplicativo com o qual não estejam autorizados a consentir. Aqui estão as etapas do processo:

  1. Um usuário tenta entrar no aplicativo.
  2. É apresentada uma mensagem de Aprovação necessária . O usuário digita uma justificativa para precisar acessar o aplicativo e, em seguida, seleciona "Solicitar aprovação".
  3. Uma mensagem de solicitação enviada confirma que a solicitação foi enviada ao administrador. Se o usuário enviar várias solicitações, somente a primeira solicitação será enviada ao administrador.
  4. O usuário recebe uma notificação por e-mail quando a solicitação é aprovada, negada ou bloqueada.

Próximos passos