Erstellen einer Unternehmensanwendung aus einer mehrinstanzenfähigen Anwendung in Microsoft Entra ID
In diesem Artikel erfahren Sie, wie Sie mithilfe der Client-ID für eine mehrinstanzenfähige Anwendung eine Unternehmensanwendung in Ihrem Mandanten erstellen. Eine Unternehmensanwendung verweist auf einen Dienstprinzipal innerhalb eines Mandanten. Der in diesem Artikel behandelte Dienstprinzipal ist die lokale Darstellung oder Anwendungsinstanz eines globalen Anwendungsobjekts in einem einzelnen Mandanten oder Verzeichnis.
Bevor Sie die Anwendung mit einer dieser Optionen hinzufügen, sollten Sie prüfen, ob die Unternehmensanwendung bereits in Ihrem Mandanten vorhanden ist. Dazu versuchen Sie, sich bei der Anwendung anzumelden. Ist die Anmeldung erfolgreich, ist die Unternehmensanwendung bereits in Ihrem Mandanten vorhanden.
Wenn Sie sich vergewissert haben, dass die Anwendung nicht in Ihrem Mandanten enthalten ist, können Sie die Unternehmensanwendung auf eine der folgenden Arten zu Ihrem Mandanten hinzufügen.
Voraussetzungen
Sie benötigen Folgendes, um Ihrem Microsoft Entra-Mandanten eine Unternehmensanwendung hinzuzufügen:
- Ein Microsoft Entra-Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
- Eine der folgenden Rollen: Cloudanwendungsadministrator oder Anwendungsadministrator.
- Die Client-ID (in Microsoft Graph auch als „appId“ bezeichnet) der mehrinstanzenfähigen Anwendung.
Erstellen einer Unternehmensanwendung
Wenn Sie über die URL für die Administratoreinwilligung verfügen, navigieren Sie mit einem Webbrowser zu dieser URL, um die mandantenweite Administratoreinwilligung für die Anwendung zu erteilen. Durch die Erteilung einer mandantenweiten Administratoreinwilligung wird die Anwendung zu Ihrem Mandanten hinzugefügt. Die URL für die mandantenweite Administratoreinwilligung weist das folgende Format auf:
https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com
Hierbei gilt:
{client-id}
ist die Client-ID der Anwendung (auch als App-ID bezeichnet).
Hinweis
Wenn Sie versuchen, eine Unternehmensanwendung zu verwenden und der Dienstprinzipal noch nicht in Ihrem Mandanten erstellt wurde, antwortet Entra mit Fehler 401 (Nicht autorisiert), der besagt: „Der Clientanwendung {appId} fehlt ein Dienstprinzipal im Mandanten {tenantId}.“ Um dieses Problem zu beheben, führen Sie die oben erwähnte Zustimmung mit der Administratoreinwilligungs-URL durch, um den Dienstprinzipal in Ihrem Mandanten zu instanziieren.
Führen Sie
connect-MgGraph -Scopes "Application.ReadWrite.All"
aus, und melden Sie sich mindestens mit der Rolle „Cloudanwendungsadministrator“ an.Führen Sie den folgenden Befehl aus, um die Unternehmensanwendung zu erstellen:
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
Führen Sie den folgenden Befehl aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:
Remove-MgServicePrincipal -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
Sie können einen API-Client wie Graph-Explorer verwenden, um mit Microsoft Graph zu arbeiten.
Erteilen Sie der Client-App die
Application.ReadWrite.All
Berechtigung.Führen Sie die folgende Abfrage aus, um die Unternehmensanwendung zu erstellen: appId ist die Client-ID der Anwendung.
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "00001111-aaaa-2222-bbbb-3333cccc4444" }
Führen Sie die folgende Abfrage aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:
DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
Führen Sie den folgenden Befehl aus, um die Unternehmensanwendung zu erstellen:
az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
Führen Sie den folgenden Befehl aus, um die von Ihnen erstellte Unternehmensanwendung zu löschen:
az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc