Bérlőszintű rendszergazdai jóváhagyás megadása egy alkalmazáshoz
Ebből a cikkből megtudhatja, hogyan adhat bérlői szintű rendszergazdai hozzájárulást egy alkalmazáshoz a Microsoft Entra-azonosítóban. Az egyes felhasználói hozzájárulási beállítások konfigurálásának megismeréséhez tekintse meg a végfelhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető témakört.
Amikor bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, hozzáférést ad az alkalmazásnak a teljes szervezet nevében kért engedélyekhez. A rendszergazdai hozzájárulás megadása egy szervezet nevében bizalmas művelet, amely lehetővé teszi az alkalmazás közzétevőjének a szervezet adatainak jelentős részére való hozzáférést, vagy a magas jogosultsági szintű műveletek elvégzésére vonatkozó engedélyt. Ilyen műveletek lehetnek például a szerepkör-kezelés, az összes postaládához vagy webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés. Ezért a hozzájárulás megadása előtt alaposan át kell tekintenie az alkalmazás által kért engedélyeket.
Alapértelmezés szerint, ha bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, minden felhasználó hozzáférhet az alkalmazáshoz, kivéve, ha más módon korlátozva van. Ha korlátozni szeretné, hogy mely felhasználók jelentkezhetnek be egy alkalmazásba, konfigurálja az alkalmazást úgy, hogy felhasználói hozzárendelést igényeljen, majd rendeljen hozzá felhasználókat vagy csoportokat az alkalmazáshoz.
Fontos
A bérlőszintű rendszergazdai hozzájárulás megadása visszavonhatja azokat az engedélyeket, amelyek már bérlői szintű engedélyt kaptak az adott alkalmazáshoz. A felhasználók által a saját nevükben megadott engedélyekre nincs hatással.
Előfeltételek
A bérlőszintű rendszergazdai hozzájárulás megadásához olyan felhasználóként kell bejelentkeznie, aki jogosult a szervezet nevében megadni a hozzájárulást.
A bérlőszintű rendszergazdai hozzájárulás megadásához a következőkre van szükség:
Microsoft Entra-felhasználói fiók az alábbi szerepkörök egyikével:
- Emelt szintű szerepkör-rendszergazda, a bármely API-t igénylő alkalmazások hozzájárulásának megadásához.
- Felhőalkalmazás-rendszergazda vagy alkalmazásadminisztrátor, a Microsoft Graph alkalmazásszerepköreinek (alkalmazásengedélyek) kivételével bármely API-hoz engedélyt kérő alkalmazások hozzájárulásának megadásához.
- Egy egyéni címtárszerepkör, amely tartalmazza az engedélyt az engedélyek megadására alkalmazások számára, az alkalmazás által igényelt engedélyekkel kapcsolatban.
Bérlőszintű rendszergazdai hozzájárulás megadása az Enterprise Apps panelen
Ha az alkalmazás már ki van építve a bérlőben, a Vállalati alkalmazások panelen adhat bérlőszintű rendszergazdai hozzájárulást. Például egy alkalmazás telepíthető az Ön rendszerén, ha legalább egy felhasználó elfogadja az alkalmazást. További információ: Hogyan és miért vannak hozzáadva alkalmazások a Microsoft Entra-azonosítóhoz.
Ha bérlőszintű rendszergazdai hozzájárulást szeretne adni a Vállalati alkalmazások panelen felsorolt alkalmazásokhoz :
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Vállalati alkalmazások>Összes alkalmazás.
- Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
- Válassza az Engedélyek lehetőséget a Biztonság területen.
- Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért az alkalmazás által igényelt engedélyekkel, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.
Rendszergazdai hozzájárulás megadása Alkalmazásregisztrációk panelen
Bérlő szintű rendszergazdai hozzájárulást adhat alkalmazásregisztrációkhoz a(z) Microsoft Entra felügyeleti központban az Önök által fejlesztett és saját Microsoft Entra-bérlőben közvetlenül regisztrált alkalmazásokhoz.
A rendszergazdai hozzájárulás megadása egy bérlő egészére az Alkalmazásregisztrációk oldalán:
- A Microsoft Entra Felügyeleti központban navigáljon az Identitás>Alkalmazások>Alkalmazás regisztrációk>Minden alkalmazás menüpontokra.
- Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
- Válassza ki az API-engedélyeket a Kezelés területen.
- Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.
A bérlőszintű rendszergazdai hozzájárulás megadásához szükséges URL-cím létrehozása
Ha bérlőszintű rendszergazdai hozzájárulást ad meg az előző szakaszban ismertetett bármelyik módszerrel, a Microsoft Entra felügyeleti központjából megnyílik egy ablak, amely bérlőszintű rendszergazdai hozzájárulást kér. Ha ismeri az alkalmazás ügyfél-azonosítóját (más néven alkalmazásazonosítóját), létrehozhatja ugyanazt az URL-címet a bérlőszintű rendszergazdai hozzájárulás megadásához.
A bérlőszintű rendszergazdai hozzájárulás URL-címe a következő formátumot követi:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}
Hol:
- a
{client-id}az alkalmazás ügyfél-azonosítója (más néven alkalmazásazonosítója). -
{organization}a bérlőazonosító vagy annak a bérlőnek az ellenőrzött tartományneve, amelyben engedélyezni szeretné az alkalmazást. Használhatja azt az értéketorganizations, amely biztosítja, hogy a hozzájárulás a bejelentkezett felhasználó otthoni bérlőjében történjen.
Mint mindig, a hozzájárulás megadása előtt gondosan nézze át az alkalmazáskérések tartalmát.
A bérlőszintű rendszergazdai hozzájárulás URL-címének létrehozásáról további információt a Microsoft identitásplatformon található rendszergazdai hozzájárulás témakörben talál.
Rendszergazdai hozzájárulás megadása delegált engedélyekhez a Microsoft Graph PowerShell használatával
Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.
Az alábbi példában az erőforrás API a Microsoft Graph, objektumazonosítója pedig aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. A Microsoft Graph API határozza meg a delegált engedélyeket, User.Read.Allés Group.Read.All. A consentType azt AllPrincipalsjelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb: .
Figyelemfelhívás
Légy óvatos! A programozott módon megadott engedélyekre nincs szükség felülvizsgálatra vagy megerősítésre. Azonnal érvénybe lépnek.
Csatlakozzon a Microsoft Graph PowerShellhez, és jelentkezzen be legalább felhőalkalmazás-rendszergazdaként.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:
User.Read.AllGroup.Read.AllGet-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | flAdja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.
$params = @{ "ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444" "ConsentType" = "AllPrincipals" "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1" "Scope" = "User.Read.All Group.Read.All" } New-MgOauth2PermissionGrant -BodyParameter $params | Format-List Id, ClientId, ConsentType, ResourceId, ScopeAz alábbi utasítás futtatásával győződjön meg arról, hogy a bérlő teljes szintű rendszergazdai hozzájárulást adott.
Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'"
Rendszergazdai hozzájárulás megadása alkalmazásengedélyekhez a Microsoft Graph PowerShell használatával
Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.
A következő példában a Microsoft Graph alkalmazásnak (a aaaaaaaa-bbbb-cccc-1111-222222222222 azonosítójú entitásnak) ad meg egy alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214, amelyet egy 11112222-bbbb-3333-cccc-4444dddd5555 azonosítójú erőforrás API tesz elérhetővé.
Csatlakozzon a Microsoft Graph PowerShellhez, és jelentkezzen be legalább kiemelt szerepkör-rendszergazdaként.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a környezetben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója.
df021288-bdef-4463-88db-98f22de89214Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |flAz alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.
$params = @{
"PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
"ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
"AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params |
Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName
A Graph Explorer használatával delegált és alkalmazásengedélyeket is adhat.
Rendszergazdai hozzájárulás megadása delegált engedélyekhez a Microsoft Graph API használatával
Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.
Legalább felhőalkalmazás-rendszergazdaként kell bejelentkeznie.
Az alábbi példában az erőforrás API-ja a Microsoft Graph, amelynek objektumazonosítója aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. A Microsoft Graph API határozza meg a delegált engedélyeket, User.Read.All és Group.Read.All. A consentType azt AllPrincipalsjelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb: .
Figyelemfelhívás
Légy óvatos! A programozott módon megadott engedélyeket nem kell felülvizsgálni vagy megerősítést adni. Azonnal érvénybe lépnek.
Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:
User.Read.AllGroup.Read.AllGET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopesAdja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.
POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants Request body { "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444", "consentType": "AllPrincipals", "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1", "scope": "User.Read.All Group.Read.All" }Ellenőrizze, hogy bérlőszintű rendszergazdai hozzájárulást adott az alábbi kérés futtatásával.
GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'
Rendszergazdai hozzájárulás megadása alkalmazásengedélyekhez a Microsoft Graph API használatával
Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.
Az alábbi példában a(z) azonosító 00001111-aaaa-2222-bbbb-3333cccc4444-val rendelkező Microsoft Graph alkalmazásnak egy alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214 ad, amelyet egy erőforrás vállalati alkalmazás azonosító 11112222-bbbb-3333-cccc-4444dddd5555 tesz elérhetővé.
Mindenképpen legalább kiemelt szerepkör-rendszergazdaként kell bejelentkeznie.
Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a belső szervezetben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója
df021288-bdef-4463-88db-98f22de89214GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRolesAz alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.
POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo Request body { "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1", "appRoleId": "df021288-bdef-4463-88db-98f22de89214" }