Partilhar via


Configurar classificações de permissão

Neste artigo, você aprenderá a configurar classificações de permissões no Microsoft Entra ID. As classificações de permissão permitem identificar o impacto que diferentes permissões têm com base nas políticas e avaliações de risco da sua organização. Por exemplo, você pode usar classificações de permissão em políticas de consentimento para identificar o conjunto de permissões que os usuários têm permissão para consentir.

Há suporte para três classificações de permissão: "Baixa", "Média" (visualização) e "Alta" (visualização). Atualmente, apenas as permissões delegadas que não exigem consentimento do administrador podem ser classificadas.

As permissões mínimas necessárias para fazer a entrada básica são openid, profile, emaile offline_access, que são todas as permissões delegadas no Microsoft Graph. Com essas permissões, um aplicativo pode ler detalhes do perfil do usuário conectado e pode manter esse acesso mesmo quando o usuário não estiver mais usando o aplicativo.

Pré-requisitos

Para configurar classificações de permissão, você precisa:

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
  • Uma das seguintes funções: Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem

Gerenciar classificações de permissão

Dica

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para classificar as permissões usando o centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Aplicativos de identidade>>: Aplicativos>corporativos, Classificações de consentimento e permissões>de permissão.
  3. Escolha a guia para a classificação de permissão que você deseja atualizar.
  4. Escolha Adicionar permissões para classificar outra permissão.
  5. Selecione a API e, em seguida, selecione uma ou mais permissões delegadas.

Neste exemplo, classificamos o conjunto mínimo de permissões necessário para o logon único:

Classificações de permissão

Você pode usar o Azure AD PowerShell mais recente para classificar permissões. As classificações de permissão são configuradas no objeto ServicePrincipal da API que publica as permissões.

Execute o seguinte comando para se conectar ao Azure AD PowerShell. Para consentir com os escopos necessários, entre como pelo menos um administrador de aplicativos na nuvem.

Connect-AzureAD

Listar as classificações de permissão atuais usando o Azure AD PowerShell

  1. Recupere o objeto ServicePrincipal para a API. Aqui recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Leia as classificações de permissão delegada para a API:

    Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId | Format-Table Id, PermissionName, Classification
    

Classificar uma permissão como "Baixo impacto" usando o Azure AD PowerShell

  1. Recupere o objeto ServicePrincipal para a API. Aqui recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Encontre a permissão delegada que você gostaria de classificar:

    $delegatedPermission = $api.OAuth2Permissions | Where-Object { $_.Value -eq "User.ReadBasic.All" }
    
  3. Defina a classificação de permissão usando o nome e a ID da permissão:

    Add-AzureADMSServicePrincipalDelegatedPermissionClassification `
       -ServicePrincipalId $api.ObjectId `
       -PermissionId $delegatedPermission.Id `
       -PermissionName $delegatedPermission.Value `
       -Classification "low"
    

Remover uma classificação de permissão delegada usando o Azure AD PowerShell

  1. Recupere o objeto ServicePrincipal para a API. Aqui recuperamos o objeto ServicePrincipal para a API do Microsoft Graph:

    $api = Get-AzureADServicePrincipal `
        -Filter "servicePrincipalNames/any(n:n eq 'https://graph.microsoft.com')"
    
  2. Encontre a classificação de permissão delegada que deseja remover:

    $classifications = Get-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "User.ReadBasic.All"}
    
  3. Exclua a classificação de permissão:

    Remove-AzureADMSServicePrincipalDelegatedPermissionClassification `
        -ServicePrincipalId $api.ObjectId `
        -Id $classificationToRemove.Id
    

Você pode usar o Microsoft Graph PowerShell para classificar permissões. As classificações de permissão são configuradas no objeto ServicePrincipal da API que publica as permissões.

Execute o seguinte comando para se conectar ao Microsoft Graph PowerShell. Para consentir com os escopos necessários, entre como pelo menos um administrador de aplicativos na nuvem.

Connect-MgGraph -Scopes "Policy.ReadWrite.PermissionGrant".

Listar classificações de permissão atuais para uma API usando o Microsoft Graph PowerShell

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Leia as classificações de permissão delegada para a API:

    Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    

Classificar uma permissão como "Baixo impacto" usando o Microsoft Graph PowerShell

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Encontre a permissão delegada que você gostaria de classificar:

    $delegatedPermission = $api.Oauth2PermissionScopes | Where-Object {$_.Value -eq "openid"} 
    
  3. Defina a classificação de permissão:

    $params = @{ 
       PermissionId = $delegatedPermission.Id 
       PermissionName = $delegatedPermission.Value 
       Classification = "Low"
    } 
    
    New-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id -BodyParameter $params 
    

Remover uma classificação de permissão delegada usando o Microsoft Graph PowerShell

  1. Recupere o objeto servicePrincipal para a API:

    $api = Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" 
    
  2. Encontre a classificação de permissão delegada que deseja remover:

    $classifications = Get-MgServicePrincipalDelegatedPermissionClassification -ServicePrincipalId $api.Id 
    
    $classificationToRemove = $classifications | Where-Object {$_.PermissionName -eq "openid"}
    
  3. Exclua a classificação de permissão:

Remove-MgServicePrincipalDelegatedPermissionClassification -DelegatedPermissionClassificationId $classificationToRemove.Id   -ServicePrincipalId $api.id 

Para configurar classificações de permissões para um aplicativo corporativo, entre no Graph Explorer como pelo menos um Administrador de Aplicativo na Nuvem.

Você precisa consentir com a Policy.ReadWrite.PermissionGrant permissão.

Execute as seguintes consultas no Microsoft Graph explorer para adicionar uma classificação de permissões delegadas para um aplicativo.

Listar classificações de permissão atuais para uma API usando a API do Microsoft Graph

Liste as classificações de permissão atuais para uma API usando a seguinte chamada de API do Microsoft Graph.

GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications

Classificar uma permissão como "Baixo impacto" usando a API do Microsoft Graph

No exemplo a seguir, classificamos a permissão como "baixo impacto".

Adicione uma classificação de permissão delegada para uma API usando a seguinte chamada de API do Microsoft Graph.

POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications
Content-type: application/json

{
   "permissionId": "b4e74841-8e56-480b-be8b-910348b18b4c",
   "classification": "low"
}

Remover uma classificação de permissão delegada usando a API do Microsoft Graph

Execute a seguinte consulta no Microsoft Graph explorer para remover uma classificação de permissões delegadas para uma API.

DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00000003-0000-0000-c000-000000000000')/delegatedPermissionClassifications/QUjntFaOC0i-i5EDSLGLTAE

Próximos passos