Bir uygulamaya kiracı genelinde yönetici onayı verin.

Uygulama kiracınız içinde zaten sağlanmışsa, Kurumsal uygulamalar bölmesi aracılığıyla kiracı genelinde yönetici onayı verebilirsiniz. Örneğin, en az bir kullanıcı uygulamaya onay verirse kiracınızda bir uygulama sağlanabilir. Daha fazla bilgi için bkz . Uygulamaların Microsoft Entra Id'ye nasıl ve neden eklendiği.

Kurumsal uygulamalar bölmesinde listelenen bir uygulamaya kiracı genelinde yönetici onayı vermek için:

1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
2. Kimlik>Uygulamalar>Kurumsal uygulamalar>Tüm uygulamalar kısmına göz atın.
3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
4. Güvenlik altında İzinler'i seçin.
5. Uygulamanın gerektirdiği izinleri dikkatle gözden geçirin. Uygulamanın gerektirdiği izinleri kabul ediyorsanız Yönetici onayını verin'i seçin.

Kuruluşunuzun geliştirdiği ve doğrudan Microsoft Entra kiracınıza kaydettiği uygulamalar için Microsoft Entra yönetim merkezinde Uygulama kayıtları bölümünden kiracı genelinde yönetici onayı verebilirsiniz.

Kiracı genelinde yönetici onayını vermek için Uygulama kayıtları:

1. Microsoft Entra yönetim merkezinde Kimlik, Uygulamalar, Uygulama kayıtları ve Tüm uygulamalar'a gidin.
2. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
3. Seçenekler arasından API izinleri'ni, Yönet başlığı altında seçin.
4. Uygulamanın gerektirdiği izinleri dikkatle gözden geçirin. Kabul ediyorsanız Yönetici onayı ver'i seçin.

Önceki bölümde açıklanan yöntemlerden birini kullanarak kiracı genelinde yönetici onayı verdiğinizde, Microsoft Entra yönetim merkezinden kiracı genelinde yönetici onayı isteme penceresi açılır. Uygulamanın istemci kimliğini (uygulama kimliği olarak da bilinir) biliyorsanız, kiracı genelinde yönetici onayı vermek için aynı URL'yi oluşturabilirsiniz.

Kiracı genelinde yönetici onayı URL'si aşağıdaki biçimi izler:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

Nerede:

• {client-id} uygulamanın istemci kimliğidir (uygulama kimliği olarak da bilinir).
• {organization} kiracı kimliği veya uygulamayı onaylamak istediğiniz kiracının doğrulanmış etki alanı adıdır. Onayın oturum açtığınız kullanıcının ev kiracısında gerçekleşmesine neden olan değeri organizationskullanabilirsiniz.

Her zaman olduğu gibi, onay vermeden önce bir uygulamanın istediği izinleri dikkatle gözden geçirin.

Kiracı genelinde yönetici onayı URL'sini oluşturma hakkında daha fazla bilgi için Microsoft kimlik platformunda yönetici onayı bölümüne bakın.

Bu bölümde, uygulamanıza temsilci izinleri verirsiniz. Temsilci izinleri, uygulamanızın oturum açmış bir kullanıcı adına bir API'ye erişmesi için gereken izinlerdir. İzinler bir kaynak API'si tarafından tanımlanır ve istemci uygulaması olan kurumsal uygulamanıza verilir. Bu onay tüm kullanıcılar adına verilir.

Aşağıdaki örnekte, kaynak API'si nesne kimliğinin aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbMicrosoft Graph'ıdır. Microsoft Graph API, User.Read.Allve Group.Read.Alltemsilci izinlerini tanımlar. consentType, AllPrincipalskiracıdaki tüm kullanıcılar adına onay verdiğinizi belirtir. İstemci kurumsal uygulamasının nesne kimliği şeklindedir aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

1. Microsoft Graph PowerShell'e bağlanın ve en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.

   Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
   

2. Kiracı uygulamanızda Microsoft graph (kaynak uygulaması) tarafından tanımlanan tüm temsilci izinlerini alın. İstemci uygulamasına vermeniz gereken yetkilendirilmiş izinleri belirleyin. Bu örnekte delege etme izinleri User.Read.All ve Group.Read.All şeklindedir.

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
   

3. Aşağıdaki isteği çalıştırarak istemci kurumsal uygulamasına temsilci izinleri verin.

   $params = @{
   
   "ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444"
   "ConsentType" = "AllPrincipals"
   "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
   "Scope" = "User.Read.All Group.Read.All"
   }
   
   New-MgOauth2PermissionGrant -BodyParameter $params | 
   Format-List Id, ClientId, ConsentType, ResourceId, Scope
   

4. Aşağıdaki isteği çalıştırarak tüm kiracı için yönetici onayı verdiğinizi onaylayın.

 Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'" 

Bu bölümde, kurumsal uygulamanıza uygulama izinleri verirsiniz. Uygulama izinleri, uygulamanızın bir kaynak API'sine erişmesi için gereken izinlerdir. İzinler kaynak API'sine göre tanımlanır ve asıl uygulama olan kurumsal uygulamanıza verilir. Uygulamanıza kaynak API'sine erişim verdikten sonra, oturum açmış bir kullanıcı olmadan arka plan hizmeti veya daemon olarak çalışır. Uygulama izinleri, uygulama rolleri olarak da bilinir.

Aşağıdaki örnekte, Microsoft Graph uygulamasına (kimlik aaaaaaaa-bbbb-cccc-1111-222222222222sorumlusu) kimlik kaynak API'si df021288-bdef-4463-88db-98f22de89214tarafından kullanıma sunulan bir kimlik 11112222-bbbb-3333-cccc-4444dddd5555 uygulama rolü (uygulama izni) verirsiniz.

1. Microsoft Graph PowerShell'e bağlanın ve en azından Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

   Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
   

2. Kiracınızdaki Microsoft Graph tarafından tanımlanan uygulama rollerini alın. Müşteri kurumsal uygulamasına erişim vereceğiniz uygulama rolünü belirleyin. Bu örnekte, uygulama rolü kimliği şeklindedir df021288-bdef-4463-88db-98f22de89214.

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
   

3. Aşağıdaki isteği çalıştırarak uygulama iznini (uygulama rolü) asıl uygulamaya verin.

 $params = @{
  "PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
  "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Hem temsilci hem de uygulama izinleri vermek için Graf Gezgini'ni kullanın.

Bu bölümde, uygulamanıza temsilci izinleri verirsiniz. Temsilci izinleri, uygulamanızın oturum açmış bir kullanıcı adına bir API'ye erişmesi için gereken izinlerdir. İzinler bir kaynak API'si tarafından tanımlanır ve istemci uygulaması olan kurumsal uygulamanıza verilir. Bu onay tüm kullanıcılar adına verilir.

En azından Bulut Uygulaması Yöneticisi olarak oturum açmanız gerekir.

Aşağıdaki örnekte, kaynak API'si nesne kimliğinin aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbMicrosoft Graph'ıdır. Microsoft Graph API, User.Read.All ve Group.Read.All olmak üzere temsilci izinlerini tanımlar. consentType, AllPrincipalskiracıdaki tüm kullanıcılar adına onay verdiğinizi belirtir. İstemci kurumsal uygulamasının nesne kimliği şeklindedir aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

1. Kiracı uygulamanızda Microsoft graph (kaynak uygulaması) tarafından tanımlanan tüm temsilci izinlerini alın. İstemci uygulamasına vermeniz gereken temsilci izinlerini belirleyin. Bu örnekte delegasyon izinleri User.Read.All ve Group.Read.All şeklindedir

   GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes
   

2. Aşağıdaki isteği çalıştırarak istemci kurumsal uygulamasına temsilci izinleri verin.

   POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   
   Request body
   {
      "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "consentType": "AllPrincipals",
      "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
      "scope": "User.Read.All Group.Read.All"
   }
   

3. Aşağıdaki isteği çalıştırarak kiracı genelinde yönetici onayı verdiğinizi onaylayın.

   GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'
   

Bu bölümde, kurumsal uygulamanıza uygulama izinleri verirsiniz. Uygulama izinleri, uygulamanızın bir kaynak API'sine erişmesi için gereken izinlerdir. İzinler kaynak API'sine göre tanımlanır ve asıl uygulama olan kurumsal uygulamanıza verilir. Uygulamanıza kaynak API'sine erişim verdikten sonra, oturum açmış bir kullanıcı olmadan arka plan hizmeti veya daemon olarak çalışır. Uygulama izinleri, uygulama rolleri olarak da bilinir.

Aşağıdaki örnekte, kimliği 00001111-aaaa-2222-bbbb-3333cccc4444 olan Microsoft Graph uygulamasına, kimliği df021288-bdef-4463-88db-98f22de89214 olan kaynak kurumsal uygulaması tarafından kullanıma sunulan kimliği 11112222-bbbb-3333-cccc-4444dddd5555 olan bir uygulama rolü (uygulama izni) verirsiniz.

En azından Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.

1. Kiracı hesabınızda Microsoft Graph tarafından tanımlanan uygulama rollerini alın. İstemci kurumsal uygulaması için vermeniz gereken uygulama rolünü belirleyin. Bu örnekte, uygulama rolü kimliği şu şekildedir: df021288-bdef-4463-88db-98f22de89214

   GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles
   

2. Aşağıdaki isteği çalıştırarak uygulama iznini (uygulama rolü) asıl uygulamaya verin.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo
   
   Request body
   
   {
      "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
      "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
   }