Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Uso del administrador de inquilinos: administrador global
Conceda consentimiento al administrador cuando una aplicación de SharePoint Embedded necesite permisos de privilegios elevados en el inquilino de Microsoft 365. Los permisos de aplicación siempre requieren el consentimiento del administrador, mientras que los permisos delegados para SharePoint Embedded no. Para más información, consulte Concesión del consentimiento del administrador.
Use este artículo para revisar los permisos solicitados, conceder consentimiento y solucionar errores comunes de consentimiento.
Importante
Conceda consentimiento solo para aplicaciones y publicadores en los que confía su organización. Revise el identificador de la aplicación, el publicador y los permisos solicitados antes de aprobarlo.
Antes de empezar
Confirme estos requisitos previos:
- Puede conceder consentimiento de administrador (consulte Concesión de consentimiento de administrador en todo el inquilino).
- Sabe que Microsoft Entra identificador de inquilino (consulte Cómo encontrar el identificador de inquilino de Microsof Entra).
- Conoce el identificador de cliente de la aplicación propietaria.
- Comprende por qué la aplicación necesita cada permiso solicitado.
- El propietario de la aplicación ha proporcionado instrucciones de instalación y consentimiento.
- Los requisitos de facturación se conocen para el modelo de aplicación.
Descripción del consentimiento en SharePoint Embedded
Una aplicación propietaria debe cumplir dos requisitos para poder actuar en un inquilino que consume.
- La aplicación propietaria debe tener una entidad de servicio instalada en el inquilino de consumo.
- A la aplicación propietaria se le deben conceder los permisos necesarios para registrar el tipo de contenedor y acceder a sus contenedores en el inquilino de consumo.
Ambos requisitos suelen cumplirse cuando un administrador de inquilinos concede el consentimiento del administrador a la aplicación propietaria. Sin embargo, el consentimiento del administrador no es un requisito difícil para que la aplicación propietaria actúe sobre el inquilino de consumo. No es necesario conceder consentimiento de administrador a las aplicaciones de SharePoint Embedded que operan exclusivamente en nombre de un usuario. Conceder el consentimiento del administrador para las aplicaciones que operan exclusivamente en nombre de un usuario puede mejorar la experiencia del usuario, ya que la aplicación no requerirá el consentimiento de todos los usuarios que quieran iniciar sesión en la aplicación.
Precaución
Debe comprender las implicaciones de conceder el consentimiento del administrador a una aplicación. Para obtener más información, consulte Concesión de consentimiento de administrador en todo el inquilino.
Estos son los permisos que necesita la aplicación propietaria para actuar en el inquilino que consume:
| Permiso | Por qué la aplicación lo solicita | Nota de consentimiento |
|---|---|---|
FileStorageContainerTypeReg.Selected |
Registre el tipo de contenedor en el inquilino de consumo. | La aplicación puede solicitarlo como permiso delegado o de aplicación. Si se usa el registro delegado, no se requiere consentimiento del administrador, pero el usuario que realiza el registro debe ser un administrador de SharePoint Embedded o un administrador global. |
FileStorageContainer.Selected |
Acceso a contenedores y contenido para su tipo de contenedor en el inquilino de consumo. | La aplicación puede solicitarlo como permiso delegado o de aplicación. Si se usa el acceso delegado, no se requiere consentimiento del administrador, pero cada usuario de la aplicación tendrá que dar su consentimiento al iniciar sesión en la aplicación. |
Revisión de los permisos solicitados
Antes de conceder el consentimiento, revise los permisos solicitados con el propietario de la aplicación.
| Revisar elemento | ¿Por qué es importante? |
|---|---|
| Identificador de cliente de la aplicación | Confirma que da su consentimiento a la aplicación propietaria prevista. |
| Publisher | Ayuda a validar la confianza y a admitir la propiedad. |
| Lista de permisos | Muestra lo que la aplicación puede hacer después del consentimiento. |
| Identificador de tipo de contenedor | Identifica el tipo de contenedor que posee la aplicación. |
| Acceso a la aplicación invitada | Identifica otras aplicaciones que pueden recibir acceso a través del registro. |
| Modelo de facturación | Determina si el inquilino debe configurar la facturación para que los usuarios puedan usar la aplicación. |
Pida al propietario de la aplicación que explique cualquier permiso que no se alinee con el escenario esperado.
Precaución
NO conceda el consentimiento de una dirección URL copiada a menos que haya comprobado el
client_idvalor en la dirección URL. Una dirección URL de consentimiento concede permisos a la aplicación identificada por ese identificador de cliente.NO conceda consentimiento si no entiende por qué se solicita cada permiso.
Concesión del consentimiento del administrador desde el punto de conexión de consentimiento
SharePoint Embedded puede solicitar el consentimiento del administrador en el inquilino proporcionándole o redirigiendo a la dirección URL de consentimiento del administrador. Para obtener más información sobre la dirección URL de consentimiento del administrador, consulte Administración consentimiento en el Plataforma de identidad de Microsoft.
https://login.microsoftonline.com/{your-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}
Confirme que en la dirección URL de consentimiento del administrador:
-
{your-tenant-id}coincide con el identificador de inquilino de Microsoft Entra. -
{owning-app-clientid}coincide con el identificador de cliente de la aplicación propietaria. -
{spe-app-redirect-uri}apunta a una dirección URL en la aplicación de SharePoint Embedded. - El valor del ámbito apunta al ámbito de
.defaultMicrosoft Graph. Si el propietario de la aplicación le proporciona un valor de ámbito diferente, asegúrese de comprender por qué. - Un
stateparámetro de consulta puede estar presente o no.
En el caso de los entornos nacionales de nube, el punto de conexión de consentimiento del administrador variará. Consulte Microsoft Entra puntos de conexión de autenticación en nubes nacionales para obtener más información.
Concesión del consentimiento de Microsoft Entra experiencias de administrador
Puede conceder el consentimiento del administrador a través de la Centro de administración Microsoft Entra solo si la aplicación propietaria ya tiene una entidad de servicio en el inquilino. Para obtener instrucciones sobre cómo conceder el consentimiento del administrador, consulte Concesión de consentimiento de administrador para todo el inquilino en el panel Aplicaciones empresariales.
Comprobación de la entidad de servicio
Después del consentimiento, confirme que la aplicación está instalada en el inquilino.
- En el Centro de administración Microsoft Entra, busque la aplicación propietaria en el panel Enterprise mediante su identificador de cliente.
- Confirme que la aplicación existe.
- Confirme el publicador y el identificador de la aplicación.
- Confirme que los permisos muestran el estado de consentimiento esperado.
- Confirme que no se concedieron permisos inesperados.
Si falta la entidad de servicio, no se completó el consentimiento.
Solución de errores de consentimiento
Use estas comprobaciones cuando se produzca un error en el consentimiento.
- Confirme que la cuenta de administrador puede conceder consentimiento de administrador en todo el inquilino.
- Confirme que la dirección URL de consentimiento usa el identificador de inquilino que consume correctamente.
- Confirme que
client_ides el identificador de cliente de la aplicación propietaria. - Confirme que la dirección URL usa el punto de conexión esperado
v2.0/adminconsenty el ámbito de Graph.default. - Confirme que el registro de la aplicación existe y el propietario de la aplicación lo ha configurado correctamente.
- Confirme que el propietario de la aplicación ha configurado el URI de redireccionamiento o el control correcto.
- Confirme que las directivas de inquilino permiten el consentimiento del usuario o administrador para la aplicación.
- Confirme que los puntos de conexión de nube nacionales son correctos cuando corresponda.
- Confirme que la aplicación no está bloqueada por las directivas de la aplicación empresarial o del publicador.
Solución de problemas de acceso denegado después del consentimiento
Use estas comprobaciones cuando el consentimiento se realice correctamente, pero el propietario de la aplicación informa de que las llamadas API producen un error en el inquilino.
- Confirme que el propietario de la aplicación registró el tipo de contenedor mediante la API de registro.
- Confirme que la aplicación es la aplicación propietaria del tipo de contenedor al invocar la API de registro.
- Confirme que la aplicación usa el permiso esperado
FileStorageContainer.Selectedpara el acceso al contenedor y al contenido. - Confirme que la aplicación usa la autenticación de solo aplicación cuando sea necesario.
- Confirme que la aplicación usa el flujo de registro delegado o solo de aplicación correcto para su diseño.
- Confirme que la facturación está activa cuando la aplicación usa la facturación de paso a través.
Contenido relacionado
- Instalación de una aplicación de SharePoint Embedded
- Configuración de la facturación en Centro de administración de Microsoft 365
- Administración de contenedores con PowerShell
- Registro de permisos de aplicación de tipo contenedor de almacenamiento de archivos
- Información general de administración
Pasos siguientes
Configure la facturación en Configuración de la facturación en Centro de administración de Microsoft 365.