Registrieren einer Microsoft Graph-Anwendung

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Mit Microsoft Graph können Sie viele der Ressourcen in Ihrem Azure AD B2C-Mandanten verwalten, einschließlich Kundenbenutzerkonten und benutzerdefinierter Richtlinien. Durch das Schreiben von Skripts oder Anwendungen, die die Microsoft Graph-API aufrufen, können Sie Mandantenverwaltungsaufgaben wie die folgenden automatisieren:

• Migrieren eines vorhandenen Benutzerspeichers zu einem Azure AD B2C-Mandanten
• Bereitstellen von benutzerdefinierten Richtlinien mit einer Azure-Pipeline in Azure DevOps und Verwalten von benutzerdefinierten Richtlinienschlüsseln
• Hosten Sie die Benutzerregistrierung auf Ihrer eigenen Seite, und erstellen Sie im Hintergrund Benutzerkonten in Ihrem Azure AD B2C-Verzeichnis
• Automatisieren Sie die Anwendungsregistrierung
• Abrufen von Überwachungsprotokollen

In den folgenden Abschnitten können Sie sich auf die Verwendung der Microsoft Graph-API vorbereiten, um die Verwaltung von Ressourcen in Ihrem Azure AD B2C-Verzeichnis zu automatisieren.

Interaktionsmodi der Microsoft Graph-API

Es gibt zwei Kommunikationsmodi, die Sie verwenden können, wenn Sie mit der Microsoft Graph-API arbeiten, um Ressourcen in Ihrem Azure AD B2C-Mandanten zu verwalten:

• Interaktiv - Passend für einmalige Aufgaben, verwenden Sie ein Administratorkonto im B2C-Mieter, um die Verwaltungsaufgaben auszuführen. In diesem Modus muss sich ein Administrator mit seinen Anmeldeinformationen anmelden, bevor er die Microsoft Graph-API aufruft.

• Automatisiert : Für geplante oder kontinuierlich ausgeführte Aufgaben verwendet diese Methode ein Dienstkonto, das Sie mit den Berechtigungen konfigurieren, die zum Ausführen von Verwaltungsaufgaben erforderlich sind. Sie erstellen das "Dienstkonto" in Azure AD B2C, indem Sie eine Anwendung registrieren, die von Ihren Anwendungen und Skripts für die Authentifizierung verwendet wird, indem Sie die Anwendungs-ID (Client) und die OAuth 2.0-Clientanmeldeinformationen verwenden. In diesem Fall ruft die Anwendung im eigenen Namen die Microsoft Graph-API auf, nicht über die administrierende Person wie bei der zuvor beschriebenen interaktiven Methode.

Sie aktivieren das Szenario "Automatisierte Interaktion", indem Sie eine Anwendungsregistrierung erstellen, die in den folgenden Abschnitten gezeigt wird.

Der Azure AD B2C-Authentifizierungsdienst unterstützt direkt den OAuth 2.0-Flow für die Gewährung von Clientanmeldeinformationen (derzeit in der öffentlichen Vorschau), aber Sie können ihn nicht verwenden, um Ihre Azure AD B2C-Ressourcen über die Microsoft Graph-API zu verwalten. Sie können jedoch den Clientanmeldeinformationsfluss mithilfe der Microsoft Entra ID und des Microsoft Identity Platform-Endpunkts /token für eine Anwendung in Ihrem Azure AD B2C-Mandanten einrichten.

Anwendung zur Verwaltung des Registers

Bevor Ihre Skripts und Anwendungen mit der Microsoft Graph-API interagieren können, um Azure AD B2C-Ressourcen zu verwalten, müssen Sie eine Anwendungsregistrierung in Ihrem Azure AD B2C-Mandanten erstellen, die die erforderlichen API-Berechtigungen gewährt.

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.
5. Geben Sie einen Namen für die Anwendung ein. Beispiel: managementapp1.
6. Wählen Sie ausschließlich Konten in diesem Organisationsverzeichnis aus.
7. Deaktivieren Sie unter Berechtigungen das Kontrollkästchen Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen.
8. Wählen Sie Registrieren aus.
9. Notieren Sie sich die Anwendungs-ID (Client-ID), die auf der Anwendungsübersichtsseite angezeigt wird. Sie verwenden diesen Wert in einem späteren Schritt.

Gewähren des API-Zugriffs

Damit Ihre Anwendung auf Daten in Microsoft Graph zugreifen kann, erteilen Sie der registrierten Anwendung die entsprechenden Anwendungsberechtigungen. Die effektiven Berechtigungen Ihrer Anwendung entsprechen der vollen Stufe der Berechtigungen, die anhand der Berechtigung impliziert werden. Wenn Sie z. B. jeden Benutzer in Ihrem Azure AD B2C-Mandanten erstellen, lesen, aktualisieren und löschen möchten, fügen Sie die Berechtigung User.ReadWrite.All hinzu.

Hinweis

Die Berechtigung User.ReadWrite.All umfasst nicht die Möglichkeit, Kennwörter für Benutzerkonten zu aktualisieren. Wenn Ihre Anwendung die Kennwörter für Benutzerkonten aktualisieren muss, erteilen Sie dem Benutzer die Rolle des Administrators. Beim Erteilen der Benutzeradministratorenrolle ist User.ReadWrite.All nicht erforderlich. Die Rolle des Benutzeradministrators umfasst alles, was zum Verwalten von Benutzern erforderlich ist.

Sie können Ihrer Anwendung mehrere Anwendungsberechtigungen erteilen. Wenn Ihre Anwendung z. B. auch Gruppen in Ihrem Azure AD B2C-Mandanten verwalten muss, fügen Sie auch die Berechtigung Group.ReadWrite.All hinzu.

App-Registrierungen

1. Wählen Sie unter Verwaltendie Option API-Berechtigungenaus.
2. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.
3. Wählen Sie die Registerkarte Microsoft-APIs und dann Microsoft Graph aus.
4. Wählen Sie Anwendungsberechtigungen.
5. Erweitern Sie die entsprechende Berechtigungsgruppe, und aktivieren Sie das Kontrollkästchen neben der Berechtigung, die Sie Ihrer Verwaltungsanwendung gewähren möchten. Beispiel:
   • User>User.ReadWrite.All: Für Benutzermigrations- oder Benutzerverwaltungsszenarien
   • Group>Group.ReadWrite.All: Zum Erstellen von Gruppen, Lesen und Aktualisieren von Gruppenmitgliedschaften und Löschen von Gruppen
   • AuditLog>AuditLog.Read.All: Zum Lesen der Überwachungsprotokolle des Verzeichnisses.
   • Policy>Policy.ReadWrite.TrustFramework: Für CI-/CD-Szenarien (Continuous Integration/Continuous Delivery). Zum Beispiel für die Bereitstellung benutzerdefinierter Richtlinien mit Azure Pipelines.
6. Wählen Sie "Berechtigungen hinzufügen" aus. Warten Sie einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.
7. Wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.
8. Melden Sie sich mit einem Konto in Ihrem Azure AD B2C-Mandanten an, dem die Rolle "Cloudanwendungsadministrator" zugewiesen ist, und wählen Sie dann Administratoreinwilligung erteilen für (Ihren Mandantennamen) aus.
9. Wählen Sie Aktualisieren aus, und überprüfen Sie dann, ob "Gewährt für ..." wird unter Status angezeigt. Es kann einige Minuten dauern, bis die Berechtigungen weitergegeben wurden.

[Fakultativ] Benutzer-Administrator-Rolle erteilen

Wenn Ihre Anwendung oder Ihr Skript die Kennwörter der Benutzer aktualisieren muss, müssen Sie der Anwendung die Rolle "Benutzeradministrator" zuweisen. Die Rolle "Benutzeradministrator" verfügt über einen festen Satz von Berechtigungen, die Sie Ihrer Anwendung erteilen.

Gehen Sie folgendermaßen vor, um die Rolle "Benutzeradministrator" hinzuzufügen:

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Suchen Sie nach Azure AD B2C, und wählen Sie es aus.
4. Wählen Sie unter "Verwalten"die Option "Rollen und Administratoren" aus.
5. Wählen Sie die Rolle Benutzeradministrator aus.
6. Wählen Sie "Aufgaben hinzufügen" aus.
7. Geben Sie im Textfeld Auswählen den Namen oder die ID der Anwendung ein, die Sie zuvor registriert haben, z. B. managementapp1. Wenn es in den Suchergebnissen angezeigt wird, wählen Sie Ihre Anwendung aus.
8. Wählen Sie Hinzufügen aus. Es kann einige Minuten dauern, bis die Berechtigungen vollständig verteilt sind.

Client-Geheimnis erstellen

Ihre Anwendung benötigt einen geheimen Clientschlüssel, um ihre Identität beim Anfordern eines Tokens nachzuweisen. Gehen Sie folgendermaßen vor, um den geheimen Clientschlüssel hinzuzufügen:

App-Registrierungen

1. Wählen Sie unter Verwalten die Option Zertifikate und Geheimnisse aus.
2. Wählen Sie Neuen geheimen Clientschlüsselaus.
3. Geben Sie im Feld Beschreibung eine Beschreibung für das Clientgeheimnis ein. Beispielsweise clientsecret1.
4. Wählen Sie unter Läuft ab einen Zeitraum aus, für den das Geheimnis gültig ist, und wählen Sie dann Hinzufügen aus.
5. Notieren Sie den Wert des Geheimnisses. Sie verwenden diesen Wert für die Konfiguration in einem späteren Schritt.

Anwendungen (Legacy)

1. Wählen Sie unter API-ZUGRIFFdie Option Schlüssel aus.
2. Geben Sie eine Beschreibung für den Schlüssel in das Feld Schlüsselbeschreibung ein. Beispielsweise clientsecret1.
3. Wählen Sie eine Gültigkeitsdauer aus, und wählen Sie dann Speichern aus.
4. Notieren Sie sich den VALUE des Schlüssels. Sie verwenden diesen Wert für die Konfiguration in einem späteren Schritt.

Nächste Schritte

Nachdem Sie Ihre Verwaltungsanwendung registriert und ihr die erforderlichen Berechtigungen erteilt haben, können Ihre Anwendungen und Dienste (z. B. Azure Pipelines) ihre Anmeldeinformationen und Berechtigungen für die Interaktion mit der Microsoft Graph-API verwenden.

• Erhalten eines Zugriffstokens von Microsoft Entra ID
• Verwenden des Zugriffstokens zum Aufrufen von Microsoft Graph
• Von Microsoft Graph unterstützte B2C-Vorgänge
• Verwalten von Azure AD B2C-Benutzerkonten mit Microsoft Graph
• Abrufen von Überwachungsprotokollen mit der Microsoft Entra Reporting-API