Configuración del acceso de la aplicación a reuniones en línea o eventos virtuales
Para que las aplicaciones accedan a algunas API de comunicaciones en la nube con permisos de aplicación, además de los permisos de aplicación de Microsoft Graph, los administradores de inquilinos deben configurar una directiva de acceso a aplicaciones. Para obtener más información, consulte permisos de aplicación admitidos.
En las secciones siguientes se describen los dos escenarios principales que requieren una directiva de acceso a aplicaciones.
Permitir que las aplicaciones accedan a reuniones en línea en nombre de un usuario
En algunos casos, como servicios en segundo plano o aplicaciones de demonio que se ejecutan en un servidor sin un usuario que ha iniciado sesión, es aceptable que una aplicación llame a Microsoft Graph y realice acciones en nombre de un usuario. Por ejemplo, una aplicación puede requerir que Microsoft Graph programe varias reuniones basadas en programaciones publicadas (como cursos) o herramientas de programación externas. En tales situaciones, la aplicación puede actuar en nombre de cualquier usuario. Por lo tanto, es importante asegurarse de que el usuario posee los privilegios necesarios, como ser el organizador o coorganizador, para acceder a la reunión en línea.
Permitir que las aplicaciones accedan a eventos virtuales creados por el usuario
En los casos en los que no se presenta un usuario que ha iniciado sesión, una aplicación puede llamar a Microsoft Graph para acceder a un evento virtual mediante permisos de aplicación. Por ejemplo, una aplicación puede llamar a Microsoft Graph para buscar un evento virtual que un usuario haya creado o recuperado informes de asistencia de un evento virtual creado por el usuario sin usar los permisos delegados de ese usuario. En estos casos, el usuario debe ser el organizador de ese evento virtual.
Siga estos pasos para configurar una directiva de acceso a aplicaciones para recursos de comunicaciones en la nube, como reuniones en línea y eventos virtuales. Estos pasos no se aplican a otros recursos de Microsoft Graph.
Comparación de la directiva de acceso a aplicaciones para reuniones en línea y eventos virtuales
En la tabla siguiente se compara la directiva de acceso a aplicaciones para reuniones en línea y eventos virtuales en varios escenarios en los que participan dos usuarios. Estos escenarios implican dos usuarios (user_1 y user_2) y las siguientes directivas de acceso a aplicaciones:
- Policy_1 contiene un identificador de aplicación (app_1)
- Policy_2 contiene un identificador de aplicación (app_2)
- Policy_3 contiene identificadores de aplicación (app_1 y app_2)
Escenario | Reunión en línea | Evento virtual |
---|---|---|
policy_1 se asigna a user_1, policy_2 se asigna a user_2 |
app_1 solo puede acceder a reuniones en línea como user_1 app_2 solo puede acceder a reuniones en línea como user_2 |
app_1 solo puede acceder a eventos virtuales creados por user_1 app_2 solo puede acceder a eventos virtuales creados por user_2 |
policy_1 se asigna a user_1 y user_2 |
app_1 puede acceder a reuniones en línea como user_1 app_1 puede acceder a reuniones en línea como user_2 |
app_1 puede acceder a eventos virtuales creados por user_1 app_1 puede acceder a eventos virtuales creados por user_2 |
policy_3 se asigna a user_1, no se asigna ninguna directiva a user_2 |
app_1 y app_2 pueden acceder a reuniones en línea como user_1 Ninguna aplicación puede acceder a la reunión en línea como user_2 |
app_1 y app_2 pueden acceder a eventos virtuales creados por user_1 Ninguna aplicación puede acceder a eventos virtuales creados por user_2 |
policy_3 se asigna a todo el inquilino | Tanto app_1 como app_2 pueden acceder a las reuniones en línea como user_1 o user_2 | Tanto app_1 como app_2 pueden acceder a eventos virtuales creados por user_1 o user_2 |
Configuración de la directiva de acceso a aplicaciones
Para configurar una directiva de acceso a aplicaciones y permitir que las aplicaciones accedan a reuniones en línea con permisos de aplicación:
Identifique el identificador de aplicación (cliente) de la aplicación y los identificadores de usuario de los usuarios en nombre de los cuales se autorizará a la aplicación para acceder a las reuniones en línea.
- Identifique el identificador de aplicación (cliente) de la aplicación en la página Registros de aplicaciones del Centro > de administración de Microsoft Entra.
- Identifique el identificador de usuario (objeto) del usuario en la página de administración de usuarios del Centro > de administración de Microsoft Entra.
Conéctese a Skype para empresas de PowerShell con una cuenta de administrador. Para obtener más información, consulte Administración de Skype para empresas en línea con PowerShell.
Cree una directiva de acceso a aplicaciones que contenga una lista de identificadores de aplicación.
Ejecute el siguiente cmdlet, reemplazando los argumentos Identity, AppIds y Description (opcional).
New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
Conceda la directiva al usuario para permitir que los identificadores de aplicación contenidos en la directiva accedan a 1) reuniones en línea en nombre del usuario concedido y 2) eventos virtuales creados por el usuario concedido.
Ejecute el siguiente cmdlet, reemplazando los argumentos PolicyName e Identity .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"
(Opcional) Conceda la directiva a todo el inquilino. Esto se aplicará a los usuarios que no tengan asignada una directiva de acceso a la aplicación. Para obtener más información, consulte los vínculos de cmdlet en la sección Contenido relacionado .
Ejecute el siguiente cmdlet y reemplace el argumento PolicyName .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
Nota:
- La identidad hace referencia al nombre de la directiva al crear la directiva, pero el identificador de usuario al conceder la directiva.
- Al conceder la directiva, se aplicará tanto a reuniones en línea como a eventos virtuales. Si prefiere administrar reuniones en línea y eventos virtuales por separado, se recomienda tener dos aplicaciones independientes.
- Los cambios en las directivas de acceso a aplicaciones pueden tardar hasta 30 minutos en surtir efecto en las llamadas a la API REST de Microsoft Graph.
Permisos admitidos y recursos adicionales
Los administradores pueden usar cmdlets ApplicationAccessPolicy para controlar el acceso a eventos virtuales y reuniones en línea para una aplicación a la que se le haya concedido cualquiera de los siguientes permisos de aplicación:
- OnlineMeetings.Read.All
- OnlineMeetings.ReadWrite.All
- OnlineMeetingArtifact.Read.All
- OnlineMeetingTranscript.Read.All
- OnlineMeetingRecording.Read.All
- VirtualEvent.Read.All
Para obtener más información sobre la configuración de la directiva de acceso de aplicación, vea la Referencia de cmdlet de PowerShell para New-ApplicationAccessPolicy.
Errores
Si intenta una llamada API para acceder a una reunión en línea o a un evento virtual sin configurar la directiva de acceso a la aplicación, es posible que encuentre el siguiente error:
{
"error": {
"code": "Forbidden",
"message": "No application access policy found for this app",
"innerError": {
"date": "<date_redacted>",
"request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
}
}
}
Siga los pasos de este artículo para crear o conceder una directiva de acceso de aplicación que contenga el identificador de aplicación al identificador de usuario.