Registrierung einer benutzerdefinierten Client-App für Agent 365 CLI

Von Bedeutung

Sie müssen Teil des Frontier-Vorschauversionsprogramms sein, um Vorabzugriff auf Microsoft Agent 365 zu erhalten. Frontier verbindet Sie direkt mit den neuesten KI-Innovationen von Microsoft. Frontier-Vorschauversionen unterliegen den bestehenden Vorschauversionsbedingungen Ihrer Kundenvereinbarungen. Da sich diese Funktionen noch in der Entwicklung befinden, können sich ihre Verfügbarkeit und Merkmale im Laufe der Zeit ändern.

Die Agent 365 CLI benötigt eine benutzerdefinierte Client-App-Registrierung in Ihrem Microsoft Entra ID Mandanten, um Agent Identity Blueprints zu authentifizieren und zu verwalten.

Dieser Artikel unterteilt den Prozess in vier Hauptschritte:

1. Registrierungsantrag
2. Stellen Sie die Redirect-URI ein
3. Anwendungs-(Client-)ID kopieren
4. Konfigurieren von API-Berechtigungen

Wenn Sie Probleme haben, sehen Sie sich den Abschnitt zur Fehlerbehebung an.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf Microsoft Entra Admin Center haben und bei Bedarf eine der erforderlichen Administratorrollen, um die Zustimmung zu erteilen.

Um die App zu registrieren

Standardmäßig können benutzer im Mandanten Anwendungen registrieren im Microsoft Entra Admin Center. Mieteradministratoren können diese Möglichkeit jedoch einschränken. Wenn du deine App nicht registrieren kannst, kontaktiere deinen Administrator.

Berechtigungen hinzufügen und Zustimmung erteilen

Du brauchst eine dieser Verwaltungsrollen für 4. Konfigurieren Sie API-Berechtigungen.

• Anwendungsadministrator: Empfohlen – kann App-Registrierungen verwalten und Zustimmung erteilen
• Cloud-Anwendungsadministrator: Kann App-Registrierungen verwalten und Zustimmung erteilen
• Globaler Administrator: Hat alle Berechtigungen, ist aber nicht erforderlich.

Tipp

Haben Sie keinen Admin-Zugriff? Sie können die Schritte 1-3 selbst erledigen und dann Ihren Mieteradministrator bitten, Schritt 4 zu erledigen. Gib ihnen aus Schritt 3 deine Anwendungs-(Client-)ID und einen Link zum Abschnitt API-Berechtigungen konfigurieren .

1. Anmeldeantrag

Diese Anweisungen fassen die vollständigen Anweisungen zur Erstellung einer App-Registrierung zusammen.

1. Wechseln Sie zu Microsoft Entra Admin Center

2. Wählen Sie App registrations

3. Wählen Sie Neue Registrierung aus.

4. Geben Sie Folgendes ein:

   • Name: Geben Sie einen sinnvollen Namen für Ihre App ein, zum Beispiel my-agent-app. App-Benutzer sehen diesen Namen, und Sie können ihn jederzeit ändern. Sie können mehrere App-Registrierungen mit demselben Namen haben.
   • Unterstützte Kontotypen:Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
   • Umleitungs-URI: Wählen Sie Public-Client/Native (Mobil- und Desktopgeräte) und geben Sie ein http://localhost:8400/

5. Wählen Sie Registrieren aus.

Für die CLI sind insgesamt drei Umleitungs-URIs erforderlich. Die CLI fügt automatisch alle fehlenden Elemente hinzu, wenn Sie ausführen a365 config init oder a365 setup requirements:

URI	Zweck
http://localhost:8400/	Interaktive Browserauthentifizierung in der Microsoft-Authentifizierungsbibliothek (MSAL)
http://localhost	Microsoft Graph PowerShell SDK Connect-MgGraph
ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}	Verwenden von Web Account Manager (WAM)

Weitere Informationen finden Sie unter "Informationen zur automatischen Konfiguration der CLI ".

2. Setzen Sie die Umleitungs-URI ein

1. Gehe zur Übersicht und kopiere den Wert der Anwendungs-(Client-)ID .
2. Gehe zu Authentifizierung (Vorschau) und wähle "Redirect-URI hinzufügen".
3. Wählen Sie mobile und Desktop-Anwendungen aus und setzen Sie den Wert auf ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}, wobei {client-id} der von Ihnen kopierte Anwendungswert (Client-ID) ist.
4. Wähle Konfigurieren, um den Wert hinzuzufügen.

3. Anwendungs-(Client-)ID kopieren

Von der Übersichtsseite der App kopieren Sie die Anwendungs-(Client-)ID im GUID-Format. Geben Sie diesen Wert ein, wenn Sie den a365 config init Befehl verwenden.

Tipp

Verwechsle diesen Wert nicht mit der Objekt-ID – du brauchst die Anwendungs-(Client-)ID.

4. API-Berechtigungen konfigurieren

Von Bedeutung

Für diesen Schritt benötigen Sie Administratorrechte. Wenn Sie ein Entwickler ohne Administratorzugriff sind, senden Sie Ihre Anwendungs-(Client-)ID von Schritt 3 an Ihren Mieteradministrator und lassen Sie diesen Schritt abschließen.

Hinweis

Ab Dezember 2025 sind die beiden AgentIdentityBlueprint.* Berechtigungen Beta-APIs und sind möglicherweise nicht im Microsoft Entra Admin Center sichtbar. Wenn diese Berechtigungen in Ihrem Mandanten allgemein verfügbar sind, können Sie Option A für alle Berechtigungen verwenden.

Wählen Sie die passende Methode:

• Option A: Verwenden Sie Microsoft Entra Admin Center für alle Berechtigungen (wenn Betaberechtigungen sichtbar sind)
• Option B: Verwenden Sie Microsoft Graph API, um alle Berechtigungen hinzuzufügen (empfohlen, wenn Betaberechtigungen nicht sichtbar sind)

Option A: Microsoft Entra Admin Center (Standardmethode)

Verwenden Sie diese Methode, wenn Beta-Berechtigungen in Ihrem Mandanten angezeigt werden.

1. Wechseln Sie in Ihrer App-Registrierung zu API-Berechtigungen.

2. Wählen Sie Eine Berechtigung hinzufügen>Microsoft Graph>Delegierte Berechtigungen aus.

   Von Bedeutung

   Sie müssen delegierte Berechtigungen (nicht Anwendungsberechtigungen) verwenden. Die CLI authentifiziert sich interaktiv – du meldest dich an, und es handelt in deinem Namen. Weitere Informationen finden Sie unter "Falscher Berechtigungstyp".

3. Fügen Sie diese fünf Berechtigungen nacheinander hinzu:

   Erlaubnis	Zweck
   AgentIdentityBlueprint.ReadWrite.All	Verwaltung der Agenten-Blueprint-Konfigurationen (Beta-API)
   AgentIdentityBlueprint.UpdateAuthProperties.All	Update Agent Blueprint vererbbare Berechtigungen (Beta-API)
   Application.ReadWrite.All	Erstellen und verwalten Sie Anwendungen und Agenten-Blueprints
   DelegatedPermissionGrant.ReadWrite.All	Erteile Berechtigungen für Agentenentwürfe
   Directory.Read.All	Verzeichnisdaten zur Validierung lesen

   Für jede Berechtigung:

   • Geben Sie im Suchfeld den Berechtigungsnamen ein (zum Beispiel AgentIdentityBlueprint.ReadWrite.All).
   • Haken Sie das Kontrollkästchen neben der Berechtigung an.
   • Wählen Sie "Berechtigungen hinzufügen" aus.
   • Wiederholen Sie dies für alle fünf Berechtigungen.

4. Wählen Sie Administratoreinwilligung gewähren für [Ihr Mandant] aus.

   • Warum ist das erforderlich? Agent Identity Blueprints sind tenant-weite Ressourcen, auf die mehrere Benutzer und Anwendungen zugreifen können. Ohne die Zustimmung des gesamten Mieters scheitert die CLI während der Authentifizierung.
   • Was, wenn es scheitert? Sie benötigen die Rolle Application Administrator, Cloud Application Administrator oder Global Administrator. Bitte deine Mieterverwaltung um Hilfe.

5. Überprüfen Sie, dass alle Berechtigungen grüne Häkchen unter Status anzeigen.

Wenn die BetaberechtigungenAgentIdentityBlueprint.* () nicht angezeigt werden, fahren Sie mit Option B fort.

Option B: Microsoft Graph API (für Betaberechtigungen)

Verwenden Sie diese Methode, wenn im Microsoft Entra Admin-Center keine Berechtigungen angezeigt werden AgentIdentityBlueprint.*.

Warnung

Wenn Sie diese API-Methode verwenden, nutzen Sie nicht die Schaltfläche "Administratorzustimmung erteilen" im Microsoft Entra Admin Center danach. Mit der API-Methode wird die Administratorzustimmung automatisch erteilt, und die Verwendung der Schaltfläche Microsoft Entra Admin Center löscht Ihre Betaberechtigungen. Für weitere Informationen siehe Beta-Berechtigungen verschwinden.

1. Öffne den Graph Explorer.

2. Melden Sie sich mit Ihrem Admin-Konto an (Anwendungsadministrator oder Cloud-Anwendungsadministrator).

3. Erteilen Sie der Administratorzustimmung mithilfe von Graph API. Um diesen Schritt abzuschließen, benötigen Sie Folgendes:

   • Dienstprinzipal-ID. Du brauchst einen variablen SP_OBJECT_ID Wert.
   • Graph-Ressourcen-ID. Du brauchst einen variablen GRAPH_RESOURCE_ID Wert.
   • Delegierte Berechtigungen erstellen (oder aktualisieren), indem Sie den Ressourcentyp oAuth2PermissionGrant durch die Verwendung der Variablenwerte SP_OBJECT_ID und GRAPH_RESOURCE_ID verwenden.

Nutzen Sie die Informationen in den folgenden Abschnitten, um diese Schritte abzuschließen.

Hol dir deine Serviceprinzipal-ID

Ein Dienstprinzipal ist die Identität Ihrer App in Ihrem Mandanten. Du brauchst es, bevor du Berechtigungen über die API erteilen kannst.

1. Setze die Graph Explorer-Methode auf GET und nutze diese URL. Ersetzen Sie <YOUR_CLIENT_APP_ID> durch Ihre tatsächliche Anwendungs-Client-ID aus Schritt 3: Kopiere die Anwendungs-(Client-)ID:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '<YOUR_CLIENT_APP_ID>'&$select=id
   

2. Wählen Sie "Abfrage ausführen" aus.

   • Wenn die Abfrage erfolgreich ist, ist der zurückgegebene Wert dein SP_OBJECT_ID.

   • Wenn die Abfrage mit einem Berechtigungsfehler fehlschlägt, wähle den Reiter Berechtigungen ändern , erteile die erforderlichen Berechtigungen und wähle dann erneut Abfrage ausführen . Der zurückgegebene Wert ist dein SP_OBJECT_ID.

   • Wenn die Abfrage leere Ergebnisse ("value": []) liefert, erstellen Sie den Service-Principal durch folgende Schritte:

     1. Stelle die Methode auf POST ein und verwende diese URL:

        https://graph.microsoft.com/v1.0/servicePrincipals
        

        Anfrage-Body (YOUR_CLIENT_APP_ID durch Ihre tatsächliche Anwendungs-Client-ID ersetzen):

        {
           "appId": "YOUR_CLIENT_APP_ID"
        }
        

     2. Wählen Sie "Abfrage ausführen" aus. Du solltest eine Antwort 201 Created bekommen. Der zurückgegebene id Wert ist dein SP_OBJECT_ID.

Hol dir deine Graph-Ressourcen-ID

1. Setzen Sie die Graph Explorer-Methode auf GET und verwenden Sie diese URL:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '00000003-0000-0000-c000-000000000000'&$select=id
   

2. Wählen Sie "Abfrage ausführen" aus.

   • Wenn die Abfrage erfolgreich ist, kopieren Sie den Wert id . Dieser Wert ist dein GRAPH_RESOURCE_ID.
   • Wenn die Abfrage mit einem Berechtigungsfehler fehlschlägt, wähle den Reiter Berechtigungen ändern , erteile die erforderlichen Berechtigungen und wähle dann erneut Abfrage ausführen . Kopieren Sie den id-Wert. Dieser Wert ist dein GRAPH_RESOURCE_ID.

Delegierte Berechtigungen erstellen

Dieser API-Aufruf gewährt mandantenweite Administratorzustimmungen für alle fünf Berechtigungen, einschließlich der beiden Betaberechtigungen, die im Microsoft Entra Admin Center nicht sichtbar sind.

1. Setzen Sie die Graph Explorer-Methode auf POST und verwenden Sie diese URL und diesen Anforderungskörper:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   

   Anfrage-Teil:

   {
   "clientId": "<SP_OBJECT_ID>",
   "consentType": "AllPrincipals",
   "principalId": null,
   "resourceId": "<GRAPH_RESOURCE_ID>",
   "scope": "Application.ReadWrite.All Directory.Read.All DelegatedPermissionGrant.ReadWrite.All AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All"
   }
   

2. Wählen Sie "Abfrage ausführen" aus.

   • Wenn du eine Antwort bekommst201 Created: Erfolg! Das Feld scope in der Antwort zeigt alle fünf Berechtigungsnamen. Sie sind fertig.
   • Wenn die Abfrage mit einem Berechtigungsfehler fehlschlägt (wahrscheinlich), DelegatedPermissionGrant.ReadWrite.Allwähle den Reiter Berechtigungen ändern , genehmige , DelegatedPermissionGrant.ReadWrite.Allund wähle dann erneut Abfrage ausführen .
   • Wenn du Fehler Request_MultipleObjectsWithSameKeyValuebekommst: Es gibt bereits einen Zuschuss. Vielleicht hat jemand früher Berechtigungen hinzugefügt. Siehe die folgende Aktualisierung der delegierten Berechtigungen.

Warnung

Die consentType: "AllPrincipals" in der POST-Anfrage gewährt bereits eine mandantenweite Administratoreinwilligung. Wählen Sie NICHT die Option "Administratorzustimmung erteilen" im Microsoft Entra Admin Center aus, nachdem Sie diese API-Methode verwendet haben – dadurch werden Ihre Betaberechtigungen gelöscht, da das Microsoft Entra Admin Center keine Betaberechtigungen sehen kann und Ihre durch die API erteilte Zustimmung nur mit den sichtbaren Berechtigungen überschreibt.

Delegierte Berechtigungen aktualisieren

Wenn Sie einen Request_MultipleObjectsWithSameKeyValue Fehler erhalten, indem Sie die Schritte zur Erstellung delegierter Berechtigungen verwenden, verwenden Sie diese Schritte, um die delegierten Berechtigungen zu aktualisieren.

1. Setzen Sie die Graph Explorer-Methode auf GET und verwenden Sie diese URL:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'SP_OBJECT_ID_FROM_ABOVE'
   

2. Wählen Sie "Abfrage ausführen" aus. Kopieren Sie den id Wert aus der Antwort. Dieser Wert ist YOUR_GRANT_ID.

3. Setze die Graph Explorer-Methode auf PATCH und verwende diese URL mit YOUR_GRANT_ID.

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants/<YOUR_GRANT_ID>
   

   Anfrage-Teil:

   {
      "scope": "Application.ReadWrite.All Directory.Read.All DelegatedPermissionGrant.ReadWrite.All AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All"
   }
   

4. Wählen Sie "Abfrage ausführen" aus. Du solltest eine 200 OK Antwort mit allen fünf Berechtigungen im Feld scope erhalten.

Bewährte Sicherheitsmethoden

Lesen Sie diese Richtlinien, um Ihre App-Registrierung sicher und konform zu halten.

Empfohlene Vorgehensweise:

• Verwenden Sie eine Einzelmieterregistrierung.
• Gewähren Sie nur die erforderlichen delegierten Erlaubnisse.
• Überprüfen Sie regelmäßig die Berechtigungen.
• Entferne die App, wenn sie nicht mehr gebraucht wird.

Nicht:

• Gewähren Sie Anwendungsberechtigungen. Verwenden Sie nur Delegierte.
• Teile die Client-ID öffentlich.
• Erteile weitere unnötige Genehmigungen.
• Nutze die App für andere Zwecke.

Was die CLI automatisch konfiguriert

Wenn Sie a365 config init oder a365 setup requirements ausführen, überprüft die CLI Ihre App-Registrierung und muss möglicherweise Änderungen vornehmen. Vor dem Anwenden von Änderungen zeigt ihnen die CLI eine Zusammenfassung an und fordert eine Bestätigung an:

WARNING: The CLI needs to make the following changes to your app registration (<app-id>):

  - Add redirect URI(s): http://localhost
  - Enable 'Allow public client flows' (isFallbackPublicClient = true)

Do you want to proceed? (y/N):

Um die Bestätigungsaufforderung (z. B. in einer CI-Umgebung) zu überspringen, verwenden Sie das --yes Kennzeichen:

a365 config init --yes

In der folgenden Tabelle werden die einzelnen Änderungen beschrieben, die die CLI möglicherweise vornehmen kann:

Veränderung	Grund
Umleitungs-URI hinzufügen http://localhost	Microsoft Graph PowerShell SDK erfordert diesen URI für die Browserauthentifizierung. Ohne diese fallen OAuth2-Zuweisungsvorgänge auf das Token zurück, das die erforderlichen delegierten Berechtigungen nicht enthält und schlagen mit 403 fehl.
Umleitungs-URI hinzufügen http://localhost:8400/	MSAL erfordert diesen URI für die interaktive Browserauthentifizierung.
Umleitungs-URI hinzufügen ms-appx-web://Microsoft.AAD.BrokerPlugin/{id}	Erforderlich für Web Account Manager (WAM), einen Windows OS-Authentifizierungsbroker. Erfahren Sie mehr über das Abrufen von gerätegebundenen Token.
Aktivieren von "Zulassen von öffentlichen Clientflüssen"	Erforderlich für den Fallback der Gerätecodeauthentifizierung unter macOS, Linux, Windows Subsystem für Linux (WSL), Headless-Umgebungen und als Fallback für bedingte Zugriffsrichtlinien unter Windows.
Hinzufügen fehlender Berechtigungen zur App-Registrierung	Hält die App-Registrierung mit neu erforderlichen Berechtigungen nach einem CLI-Update synchronisiert.
Verlängern der Administratorzustimmungserteilung	Erweitert die vorhandene OAuth2-Berechtigungserteilung, um alle neu bereitgestellten Berechtigungen einzuschließen. DelegatedPermissionGrant.ReadWrite.All muss bereits zugestimmt worden sein.

Wenn Sie die Eingabeaufforderung ablehnen, ändert die CLI ihre App-Registrierung nicht. Wenn Änderungen erforderlich sind, damit die CLI funktioniert, können Sie sie manuell im Microsoft Entra Admin Center konfigurieren oder erneut ausführen.--yes

Nächste Schritte

Nachdem Sie Ihre benutzerdefinierte Client-App registriert haben, verwenden Sie sie mit der Agent 365 CLI im Entwicklungszyklus von Agent 365:

Entwicklungszyklus Agent 365

Problembehandlung

Dieser Abschnitt beschreibt, wie man Fehler bei der Registrierung einer benutzerdefinierten Client-App behebt.

Tipp

Der Agent 365 Troubleshooting Guide enthält übergeordnete Empfehlungen zur Fehlerbehebung, Best Practices und Links zu Inhalten zur Fehlerbehebung für jeden Teil des Entwicklungszyklus von Agent 365.

Die CLI-Validierung schlägt während der Konfiguration fehl

Symptom: Ausführung des a365 config init Befehls oder a365 setup schlägt mit Fehlern bei der Validierung deiner benutzerdefinierten Client-App fehl.

Lösung: Verwenden Sie diese Checkliste, um zu überprüfen, ob Ihre App-Registrierung korrekt ist:

# Run configuration to see validation messages
a365 config init

Erwartetes Ergebnis: CLI zeigt Custom client app validation successful.

Wenn Sie nicht das erwartete Ergebnis erhalten, überprüfen Sie jede der folgenden Prüfungen:

Überprüfen	Wie man verifiziert	Reparatur
✅ Korrekte ID verwendet	Du hast die Anwendungs-(Client-)ID kopiert (nicht die Objekt-ID)	Wechseln Sie zu "App Übersicht" im Microsoft Entra Verwaltungszentrum.
✅ Delegierte Berechtigungen	Berechtigungen zeigen Typ: Delegiert in API-Berechtigungen	Siehe Falscher Berechtigungstyp
✅ Alle Berechtigungen hinzugefügt	Siehe alle unten aufgeführten Berechtigungen	Folge Schritt 4 noch einmal
✅ Admin-Zustimmung erteilt	Alle zeigen unter Status ein grünes Häkchen	Siehe Administrator-Zustimmung fälschlicherweise erteilt

Erforderliche delegierte Berechtigungen:

• Application.ReadWrite.All
• AgentIdentityBlueprint.ReadWrite.All [Beta]
• AgentIdentityBlueprint.UpdateAuthProperties.All [Beta]
• Directory.Read.All
• DelegatedPermissionGrant.ReadWrite.All

Admin-Zustimmung fälschlicherweise erteilt

Symptom: Die Überprüfung schlägt fehl, auch wenn Sie Berechtigungen hinzugefügt haben.

Ursache: Sie haben keine Administratorzustimmung erteilt, oder Sie haben sie falsch erteilt.

Lösung: Die korrekte Lösung hängt davon ab, welche Methode du verwendet hast:

Wenn du es benutzt hast	Wie man die Zustimmung erteilt	Warnung
Option A (nur Microsoft Entra Admin Center)	Wählen Sie Administratoreinwilligung gewähren für [Ihr Mandant] in Microsoft Entra Admin Center aus.	✅ Sicher zu verwendende Microsoft Entra Verwaltungszentrum-Schaltfläche
Option B (Graph-API)	Die Zustimmung des Admins wurde bereits während der Anfrage POST erteilt.	⚠️ NICHT die Microsoft Entra Admin Center-Schaltfläche verwenden – dadurch werden Ihre Betaberechtigungen gelöscht.

Wenn Sie Microsoft Entra Admin Center versehentlich nach Option B verwenden: Sie löschen Ihre Betaberechtigungen. Folgen Sie den delegierten Berechtigungen von Update , um sie wiederherzustellen.

Falscher Berechtigungstyp

Symptom: CLI scheitert bei Authentifizierungsfehlern oder Berechtigungsverweigerungsfehlern.

Ursache: Du hast Anwendungsberechtigungen statt delegierter Berechtigungen hinzugefügt.

Diese Tabelle beschreibt die verschiedenen Arten von Berechtigungen.

Berechtigungstyp	Wann verwendet werden soll	Wie Agent 365 CLI es nutzt
Delegiert ("Scope")	Der Nutzer meldet sich interaktiv an	Agent 365 CLI verwendet dies – Sie melden sich an, CLI handelt in Ihrem Namen
Anwendung ("Rolle")	Der Dienst läuft ohne Benutzer	Nicht verwenden – Nur für Hintergrunddienste/Dämonen

Warum delegiert?

• Sie melden sich interaktiv an (Browser-Authentifizierung)
• Die CLI führt Aktionen im Namen von dir aus (Audit-Trails zeigen deine Identität)
• Sicherer – begrenzt durch deine tatsächlichen Berechtigungen
• Gewährleistet Verantwortlichkeit und Einhaltung

Lösung:

1. Wechseln Sie zu Microsoft Entra Admin Center>App registrations> Ihre App >API-Berechtigungen
2. Entferne alle Anwendungsberechtigungen. Diese Berechtigungen erscheinen als Anwendung in der Typ-Spalte .
3. Füge dieselben Berechtigungen hinzu wie delegierte Berechtigungen .
4. Erteile erneut die Zustimmung des Administrators.

Betaberechtigungen verschwinden nach der Admin-Zustimmung im Microsoft Entra Admin Center.

Symptom: Sie haben Option B: Microsoft Graph API (Für Betaberechtigungen) verwendet, um Betaberechtigungen hinzuzufügen, verschwinden jedoch, nachdem Sie Administratorzustimmung erteilen im Microsoft Entra-Admin-Center ausgewählt haben.

Root-Ursache: Microsoft Entra Admin Center zeigt keine Betaberechtigungen auf der Benutzeroberfläche an. Wenn Sie die Zustimmung des Administrators gewähren, gewährt das Portal nur die Zustimmung für die sichtbaren Berechtigungen und überschreibt die von der API erteilte Einwilligung.

Warum dies geschieht:

1. Mit dem Graph API (Option B) fügen Sie alle fünf Berechtigungen einschließlich Betaberechtigungen hinzu.
2. Der API-Aufruf gewährt consentType: "AllPrincipals"bereits mandantenweite Admin-Zustimmung.
3. Sie wechseln zum Microsoft Entra Admin Center und sehen nur drei Berechtigungen, da die Betaberechtigungen unsichtbar sind.
4. Du wählst "Administrator-Einwilligung gewähren ", weil du denkst, dass du es brauchst.
5. Microsoft Entra Admin Center überschreibt Ihre per API erteilte Zustimmung mit nur den drei sichtbaren Berechtigungen.
6. Deine beiden Beta-Berechtigungen sind jetzt gelöscht.

Lösung:

• Verwenden Sie keine Microsoft Entra Admin Center-Administratoreinwilligung nach der API-Methode: Die API-Methode erteilt bereits Administratoreinwilligung.
• Wenn Sie versehentlich Betaberechtigungen löschen, führen Sie Option B Schritt 3 erneut aus (Erteilen der Administratorzustimmung mithilfe von Graph API), um sie wiederherzustellen. Wenn Sie einen Request_MultipleObjectsWithSameKeyValue Fehler erhalten, folgen Sie den Schritten zur Aktualisierung delegierter Berechtigungen.
• Um zu überprüfen, dass alle fünf Berechtigungen aufgeführt sind, prüfen Sie das scope Feld in der POST oder PATCH Antwort.

App wird während der Validierung nicht gefunden

Symptom: Das CLI meldet Application not found oder Invalid client ID Fehler.

Solution:

1. Überprüfen Sie, dass Sie die Anwendungs-(Client-)ID im GUID-Format kopiert haben, nicht die Objekt-ID:

   • Wechseln Sie zum Microsoft Entra Admin Center>App registrations> Ihre App >Overview
   • Kopieren Sie den Wert unter Application (Client) ID
   • Das Format sollte folgendermaßen sein: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

2. Überprüfen Sie, ob die App in Ihrem Mieter existiert:

   # Sign in to the correct tenant
   az login
   
   # List your app registrations
   az ad app list --display-name "<The display name of your app>"
   

Erfahren Sie, wie Sie eine Anwendung in Microsoft Entra ID.