Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Entwickler
Registrieren Sie Containertyp-Anwendungsberechtigungen, bevor Ihre SharePoint Embedded-App Container erstellt oder auf Inhalte in einem verarbeitenden Mandanten zugreift.
Schließen Sie zuerst Erstellen und Konfigurieren eines Containertyps ab, damit Sie über eine Containertyp-ID und eine besitzende Anwendung verfügen.
Warum eine Registrierung erforderlich ist
Eine SharePoint Embedded-Anwendung kann erst dann mit Containern in einem Nutzen-Mandanten interagieren, wenn der Containertyp in diesem Mandanten registriert ist.
Registrierungskontrollen:
- Welche Anwendungs-IDs auf den Containertyp zugreifen können.
- Welche delegierten Berechtigungen jede Anwendung besitzt.
- Welche app-only-Berechtigungen jede Anwendung hat.
- Gibt an, ob Gastanwendungen mit den Containern der besitzenden Anwendung interagieren können.
Wenn die Registrierung fehlt oder unvollständig ist, können spätere Aufrufe mit Fehlern vom Typ "Zugriff verweigert" fehlschlagen.
Verstehen, wer sich registrieren kann
Nur die besitzende Anwendung des Containertyps kann die Registrierungs-API im nutzenden Mandanten aufrufen.
Die besitzende Anwendung muss über Folgendes verfügen:
- Ein Dienstprinzipal, der auf dem Nutzen des Mandanten installiert ist.
- Admin zustimmung, die Registrierung im nutzenden Mandanten durchzuführen.
- Die
FileStorageContainerTypeReg.SelectedMicrosoft Graph-Berechtigung (benutzerdelegiert oder nur App). - Ein gültiges Token für die Microsoft Graph-Ressource.
Hinweis
Die API für die Containertypregistrierung ist in Microsoft Graph v1.0 verfügbar. Wenn die besitzende Anwendung die Registrierungs-API im Namen eines Benutzers aufruft (delegiert), muss diesem Benutzer die Rolle SharePoint Embedded-Administrator oder Globaler Administrator zugewiesen werden. Wenn ohne Benutzerkontext (nur App) aufgerufen wird, wird der Flow zur Gewährung von Clientanmeldeinformationen verwendet.
Erteilen der Administratoreinwilligung
Bitten Sie einen mandantenverarbeitenden Administrator, der besitzenden Anwendung die Administratoreinwilligung zu erteilen.
Verwenden Sie den Endpunkt für die Microsoft Identity Platform Administratoreinwilligung:
https://login.microsoftonline.com/{consuming-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}
Konfigurieren Sie die Erfolgs- und Fehlerbehandlung für Ihren Onboardingflow.
Informationen zu Endpunkten der nationalen Cloud finden Sie unter Microsoft Identity Platform Endpunkte in nationalen Clouds.
Abrufen eines Tokens für die Registrierung
Verwenden Sie entweder die delegierte Authentifizierung oder die reine App-Authentifizierung für die Registrierung.
Für die Registrierung ist Folgendes erforderlich:
- Die
FileStorageContainerTypeReg.SelectedMicrosoft Graph-Berechtigung. - Bei Nur-App-Aufrufen wird der Ablauf der Clientanmeldeinformationen erteilt.
- Bei delegierten Aufrufen ein angemeldeter Benutzer mit der Rolle SharePoint Embedded-Administrator oder Globaler Administrator.
Registrieren von Containertypberechtigungen
Rufen Sie den Registrierungsendpunkt im verbrauchenden Mandanten auf.
PUT https://graph.microsoft.com/v1.0/storage/fileStorage/containerTypeRegistrations/{containerTypeId}
{containerTypeId} ist die Containertyp-ID, die im besitzenden Mandanten erstellt wurde.
Geben Sie im Anforderungstext die Anwendungsberechtigungen für den Containertyp an.
Erteilen von Berechtigungen für die besitzende App
Eine allgemeine erste Registrierung gewährt der besitzenden App vollständige Berechtigungen für delegierte und nur App-Aufrufe.
{
"applicationPermissionGrants": [
{
"appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
"delegatedPermissions": ["full"],
"applicationPermissions": ["full"]
}
]
}
Ersetzen Sie die Beispiel-App-ID durch Ihre eigene Anwendungs-ID.
Achtung
Verwenden Sie die geringsten Rechte für die Produktion. Nur gewähren full , wenn die Anwendung vollständigen Containertypzugriff benötigt.
Erteilen von Berechtigungen für eine Gast-App
Die besitzende App kann auch Berechtigungen für eine andere Anwendung registrieren.
Verwenden Sie dieses Muster, wenn eine Gast-App eine definierte Workload benötigt, z. B. Sicherung oder Verarbeitung.
{
"applicationPermissionGrants": [
{
"appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
"delegatedPermissions": ["full"],
"applicationPermissions": ["full"]
},
{
"appId": "89ea5c94-7736-4e25-95ad-3fa95f62b6",
"delegatedPermissions": ["read", "write"],
"applicationPermissions": ["none"]
}
]
}
Ersetzen Sie beide App-IDs durch Ihre Anwendungen.
Berechtigungswerte
| Permission | Verwendung |
|---|---|
None |
Erteilen Sie keine Berechtigungen. |
ReadContent |
Lesen von Inhalten in Containern dieses Typs. |
WriteContent |
Schreiben von Inhalten in Containern dieses Typs. |
Create |
Erstellen Sie Container dieses Typs. |
Delete |
Löschen Sie Container dieses Typs. |
Read |
Lesen von Containermetadaten. |
Write |
Aktualisieren der Containermetadaten. |
EnumeratePermissions |
Auflisten von Containermitgliedern und -rollen. |
AddPermissions |
Fügen Sie Containermitglieder hinzu. |
UpdatePermissions |
Aktualisieren vorhandener Mitgliedschaften. |
DeletePermissions |
Löschen Sie andere Mitglieder. |
DeleteOwnPermission |
Entfernen Sie die eigene Mitgliedschaft des Aufrufers. |
ManagePermissions |
Verwalten von Containerrollenzuweisungen. |
ManageContent |
Verwalten sie den Inhalt von Containern dieses Typs. |
Full |
Erteilen Sie alle Berechtigungen. |
Hinweis
WriteContentkann ohneReadContentnicht gewährt werden.
Überprüfen der Registrierung
Eine erfolgreiche Registrierung gibt und die konfigurierten Berechtigungen im Antworttext zurück 201 Created .
Nach der erfolgreichen Registrierung:
- Vergewissern Sie sich, dass die Antwort die erwarteten App-IDs enthält.
- Vergewissern Sie sich, dass delegierte Arrays und Nur-App-Arrays ihren beabsichtigten Zuweisungen entsprechen.
- Abrufen eines Microsoft Graph-Tokens mit SharePoint Embedded-Berechtigungen.
- Probieren Sie einen Vorgang mit geringem Risiko aus, der der registrierten Berechtigung entspricht.
- Fahren Sie mit Konfigurieren der Authentifizierung und Autorisierung fort.
Behandeln von Einwilligungsproblemen
| Problembeschreibung | Wahrscheinliche Ursache | Aktion |
|---|---|---|
401 Unauthorized |
Fehlendes oder ungültiges Token | Fordern Sie ein gültiges Nur-App-Token an. |
403 Forbidden |
App hat keine Berechtigung oder besitzt keine App | Bestätigen, FileStorageContainerTypeReg.SelectedZustimmung und App-ID. |
404 Not Found |
Containertyp ist nicht vorhanden | Überprüfen Sie ID und Mandant. |
| Zugriff verweigert bei Graph-Aufrufen | Registrierung fehlt oder reicht nicht aus | Registrieren Sie sich mit den erforderlichen Berechtigungen erneut. |
| Admin können ausgeblendete Berechtigungen nicht finden. | Portal macht es nicht verfügbar | Verwenden Sie eine Administratoreinwilligungs-URL. |
Sicheres erneutes Registrieren
Es gibt keine Einschränkung, wie oft die Registrierungs-API aufgerufen werden kann.
Der letzte erfolgreiche Registrierungsaufruf bestimmt die Einstellungen, die im verbrauchenden Mandanten verwendet werden.
Verwenden Sie einen sicheren Updateprozess:
- Erstellen Sie eine vollständige Registrierungsnutzlast.
- Schließen Sie alle Apps ein, die zugriff behalten sollen.
- Übermitteln Sie den Registrierungsaufruf.
- Überprüfen Sie die Antwort.
- Führen Sie Feuerprobetests für jede App-Rolle aus.
Wichtig
Senden Sie keine Teilnutzlast, es sei denn, Sie beabsichtigen, dass die resultierende Registrierung nur diesen Satz von Anwendungen und Berechtigungen enthält.
Nächste Schritte
Konfigurieren von Token und Autorisierungsflüssen unter Konfigurieren von Authentifizierung und Autorisierung.