Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Obtenga información sobre cómo autenticarse en las API de Administración de configuración de inquilinos (TCM) y configurar la entidad de servicio de TCM para su organización.
Autenticación
Se requieren dos niveles de autenticación cuando se trabaja con las API de TCM:
- Autentíquese en Microsoft Graph con una entidad de seguridad que tenga el permiso adecuado para administrar monitores y ejecutar instantáneas.
- Configure la autenticación para que los monitores determinen qué monitores de método de autenticación usan para suplantar llamadas a los distintos puntos de conexión de carga de trabajo o para ejecutar un trabajo de instantánea.
Autenticación en Microsoft Graph
Para administrar monitores o iniciar un trabajo de instantánea, primero debe obtener un token de acceso a Microsoft Graph mediante la autenticación con las credenciales de un usuario (flujo delegado por el usuario) o una entidad de servicio. En la tabla siguiente se resumen los permisos necesarios:
| Escenario | Delegado por el usuario | Servicio principal |
|---|---|---|
| Supervisión de la administración | Cualquier rol con privilegios* | ConfigurationMonitoring.Read.All o ConfigurationMonitoring.ReadWrite.All |
| Instantáneas | Cualquier rol con privilegios* | ConfigurationMonitoring.ReadWrite.All |
* Para obtener una lista completa de roles con privilegios, consulte Microsoft Entra roles integrados.
Autenticación para ejecutar un monitor
Cuando se ejecuta un monitor, suplanta la entidad de seguridad especificada por TCM. La solución TCM expone una entidad de servicio oficial denominada Administración de configuración de inquilinos con el siguiente identificador de aplicación:
03b07b79-c5bc-4b5e-9bfa-13acf4a99998
Nota:
Los clientes deben asegurarse de que la entidad de servicio de M365 Administración Services con appId6b91db1b-f05b-405a-a0b2-e3f60b28d645 también se aprovisiona en su inquilino. Si no existe, puede aprovisionarlo manualmente.
Configuración de la entidad de servicio de TCM
Durante la versión preliminar pública, las organizaciones deben agregar la entidad de servicio de TCM a su inquilino y concederle los permisos necesarios.
Adición de la entidad de servicio de TCM a un inquilino
Puede usar las siguientes opciones al agregar la entidad de servicio de TCM a un inquilino.
Opción 1: Usar PowerShell
Instale los módulos necesarios:
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.ApplicationsConéctese a Microsoft Graph:
Connect-MgGraph -Scopes @('Application.ReadWrite.All', 'AppRoleAssignment.ReadWrite.All')Cree la entidad de servicio:
New-MgServicePrincipal -AppId '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'
Opción 2: Usar microsoft Graph API
Realice la siguiente solicitud para crear la entidad de servicio:
POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-Type: application/json
{
"appId": "03b07b79-c5bc-4b5e-9bfa-13acf4a99998"
}
Concesión de permisos a la entidad de servicio de TCM
Después de agregar la entidad de servicio de TCM al inquilino, debe concederle los permisos necesarios para acceder a los puntos de conexión de carga de trabajo.
Opción 1: Usar PowerShell
El script de ejemplo siguiente concede los User.ReadWrite.All permisos y Policy.Read.All a la entidad de servicio de TCM:
$permissions = @('User.ReadWrite.All', 'Policy.Read.All')
$Graph = Get-MgServicePrincipal -Filter "AppId eq '00000003-0000-0000-c000-000000000000'"
$TCM = Get-MgServicePrincipal -Filter "AppId eq '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'"
foreach ($requestedPermission in $permissions) {
$AppRole = $Graph.AppRoles | Where-Object { $_.Value -eq $requestedPermission }
$body = @{
AppRoleId = $AppRole.Id
ResourceId = $Graph.Id
PrincipalId = $TCM.Id
}
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $TCM.Id -BodyParameter $body
}
Para obtener Exchange Online permisos, consulte Directivas de acceso a aplicaciones en Exchange Online.
Opción 2: Usar Microsoft Graph API
Asigne roles de aplicación a la entidad de servicio de TCM:
POST https://graph.microsoft.com/v1.0/servicePrincipals(appId='03b07b79-c5bc-4b5e-9bfa-13acf4a99998')/appRoleAssignedTo
Content-Type: application/json
{
"appRoleId": "246dd0d5-5bd0-4def-940b-0421030a5b68",
"resourceId": "<Microsoft Graph service principal ID>",
"principalId": "<TCM service principal ID>"
}
Reemplace los valores del marcador de posición:
-
<Microsoft Graph service principal ID>: el identificador de objeto de la entidad de servicio de Microsoft Graph en el inquilino. -
<TCM service principal ID>: el identificador de objeto de la entidad de servicio de TCM en el inquilino.