Freigeben über


Erstellen einer Unternehmensanwendung aus einer mehrinstanzenfähigen Anwendung in Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie mithilfe der Client-ID für eine mehrinstanzenfähige Anwendung eine Unternehmensanwendung in Ihrem Mandanten erstellen. Eine Unternehmensanwendung verweist auf einen Dienstprinzipal innerhalb eines Mandanten. Der in diesem Artikel behandelte Dienstprinzipal ist die lokale Darstellung oder Anwendungsinstanz eines globalen Anwendungsobjekts in einem einzelnen Mandanten oder Verzeichnis.

Bevor Sie die Anwendung mit einer dieser Optionen hinzufügen, sollten Sie prüfen, ob die Unternehmensanwendung bereits in Ihrem Mandanten vorhanden ist. Dazu versuchen Sie, sich bei der Anwendung anzumelden. Ist die Anmeldung erfolgreich, ist die Unternehmensanwendung bereits in Ihrem Mandanten vorhanden.

Wenn Sie sich vergewissert haben, dass die Anwendung nicht in Ihrem Mandanten enthalten ist, können Sie die Unternehmensanwendung auf eine der folgenden Arten zu Ihrem Mandanten hinzufügen.

Voraussetzungen

Sie benötigen Folgendes, um Ihrem Microsoft Entra-Mandanten eine Unternehmensanwendung hinzuzufügen:

  • Ein Microsoft Entra-Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
  • Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator.
  • Die Client-ID (in Microsoft Graph auch als „appId“ bezeichnet) der mehrinstanzenfähigen Anwendung.

Erstellen einer Unternehmensanwendung

Wenn Sie über die URL für die Administratoreinwilligung verfügen, navigieren Sie mit einem Webbrowser zu dieser URL, um die mandantenweite Administratoreinwilligung für die Anwendung zu erteilen. Durch die Erteilung einer mandantenweiten Administratoreinwilligung wird die Anwendung zu Ihrem Mandanten hinzugefügt. Die URL für die mandantenweite Administratoreinwilligung weist das folgende Format auf:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com

Hierbei gilt:

  • {client-id} ist die Client-ID der Anwendung (auch als App-ID bezeichnet).

Hinweis

Wenn Sie versuchen, eine Unternehmensanwendung zu verwenden und der Dienstprinzipal noch nicht in Ihrem Mandanten erstellt wurde, antwortet Entra mit Fehler 401 (Nicht autorisiert), der besagt: „Der Clientanwendung {appId} fehlt ein Dienstprinzipal im Mandanten {tenantId}.“ Um dieses Problem zu beheben, führen Sie die oben erwähnte Zustimmung mit der Administratoreinwilligungs-URL durch, um den Dienstprinzipal in Ihrem Mandanten zu instanziieren.

  1. Führen Sie connect-MgGraph -Scopes "Application.ReadWrite.All" aus, und melden Sie sich mindestens mit der Rolle „Cloudanwendungsadministrator“ an.

  2. Führen Sie den folgenden Befehl aus, um die Unternehmensanwendung zu erstellen:

    New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
    
  3. Führen Sie den folgenden Befehl aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:

    Remove-MgServicePrincipal
       -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
    
    

Sie können einen API-Client wie Graph-Explorer verwenden, um mit Microsoft Graph zu arbeiten.

  1. Erteilen Sie der Client-App die Application.ReadWrite.All Berechtigung.

  2. Führen Sie die folgende Abfrage aus, um die Unternehmensanwendung zu erstellen: appId ist die Client-ID der Anwendung.

    POST https://graph.microsoft.com/v1.0/servicePrincipals
    Content-type: application/json
    
    {
      "appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
    }
    
    
  3. Führen Sie die folgende Abfrage aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
    
  1. Führen Sie den folgenden Befehl aus, um die Unternehmensanwendung zu erstellen:

    az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
    
  2. Führen Sie den folgenden Befehl aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:

    az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc
    
    

Nächste Schritte