Enregistrement personnalisé de l’application client pour l’Agent 365 CLI

Important

Vous devez faire partie du programme Frontier en version préliminaire pour obtenir un accès anticipé à Microsoft Agent 365. Frontier vous connecte directement aux dernières innovations d’IA de Microsoft. Les versions préliminaires Frontier sont soumises aux conditions existantes de vos contrats clients qui régissent les versions préliminaires. Comme ces fonctionnalités sont encore en cours de développement, leur disponibilité et leurs capacités peuvent évoluer au fil du temps.

La CLI de l’Agent 365 nécessite une inscription personnalisée à l’application client dans votre locataire Microsoft Entra ID pour authentifier et gérer les Blueprints d’identité de l’agent.

Cet article décompose le processus en quatre étapes principales :

1. Demande de registre
2. Définir l’URI de Redirection
3. Copie de l’ID de l’application (client)
4. Configurer les autorisations d’API

Si vous avez des problèmes, consultez la section Dépannage .

Prerequisites

Avant de commencer, assurez-vous d’avoir accès au centre d’administration Microsoft Entra et, si nécessaire, à l’un des postes d’administrateur requis pour accorder votre consentement.

Pour enregistrer l’application

Par défaut, tout utilisateur du locataire peut enregistrer des applications dans le centre d’administration Microsoft Entra. Cependant, les administrateurs de locataires peuvent restreindre cette capacité. Si vous ne pouvez pas enregistrer votre application, contactez votre administrateur.

Ajouter des autorisations et accorder le consentement

Vous avez besoin d’un de ces rôles administratifs pour 4. Configurez les permissions de l’API.

• Administrateur de la candidature : recommandé - peut gérer les inscriptions aux applications et accorder son consentement
• Administrateur d’applications cloud : Peut gérer les inscriptions d’applications et accorder le consentement
• Administrateur global : Dispose de toutes les permissions, mais non requis

Conseil / Astuce

Vous n’avez pas accès administrateur ? Vous pouvez effectuer vous-même les étapes 1 à 3, puis demander à votre administrateur locataire de compléter l’étape 4. Fournissez-leur votre identifiant d’application (client) de l’étape 3 ainsi qu’un lien vers la section Configurer les permissions de l’API .

1. Inscription de la demande

Ces instructions résument toutes les instructions pour créer une inscription à une application.

1. Rendez-vous au centre d’administration Microsoft Entra

2. Sélectionnez les inscriptions à l’application

3. Sélectionnez Nouvelle inscription

4. Entrez :

   • Nom : Saisissez un nom significatif pour votre application, tel que my-agent-app. Les utilisateurs de l’application voient ce nom et vous pouvez le modifier à tout moment. Vous pouvez avoir plusieurs inscriptions d’applications portant le même nom.
   • Types de comptes pris en charge : comptes dans ce répertoire organisationnel uniquement (locataire unique)
   • Redirection URI : sélectionnez Client public/natif (mobile & bureau) et entrée http://localhost:8400/

5. Sélectionnez Inscrire.

2. Définir l’URI de redirection

1. Allez dans Aperçu et copiez la valeur ID de l’application (client ).
2. Allez dans Authentification (aperçu) et sélectionnez Ajouter une URI de redirection.
3. Sélectionnez Applications mobiles et de bureau et définissez la valeur à ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}, où {client-id} est la valeur de l’application (identifiant client) que vous avez copiée.
4. Sélectionnez Configurer pour ajouter la valeur.

3. Copie de l’ID de l’application (client)

Depuis la page d’aperçu de l’application, copiez l’ID de l’application (client) au format GUID. Saisissez cette valeur lorsque vous utilisez la a365 config init commande.

Conseil / Astuce

Ne confondez pas cette valeur avec l’ID d’objet - vous avez besoin de l’ID Application (client).

4. Configurer les permissions de l’API

Important

Vous avez besoin de privilèges administrateur pour cette étape. Si vous êtes un développeur sans accès administrateur, envoyez votre identifiant Application (client) de l’étape 3 à votre administrateur locataire et faites-lui effectuer cette étape.

Note

En décembre 2025, les deux AgentIdentityBlueprint.* autorisations sont des API bêta et peuvent ne pas être visibles dans le centre d’administration Microsoft Entra. Si ces autorisations deviennent généralement disponibles dans votre locataire, vous pouvez utiliser l’option A pour toutes les autorisations.

Choisissez la méthode appropriée :

• Option A : Utiliser le centre d’administration Microsoft Entra pour toutes les permissions (si les autorisations bêta sont visibles)
• Option B : Utiliser l’API Microsoft Graph pour ajouter toutes les permissions (recommandé si les autorisations de la bêta ne sont pas visibles)

Option A : centre d’administration Microsoft Entra (méthode standard)

Utilisez cette méthode si les autorisations bêta sont visibles dans votre locataire.

1. Dans l’inscription de votre application, accédez aux autorisations d’API.

2. Sélectionner Ajouter une permission>Microsoft Graph>Autorisations déléguées.

   Important

   Vous DEVEZ utiliser les permissions déléguées (PAS les permissions d’application). Le CLI s’authentifie de manière interactive – vous vous connectez, et il agit en votre nom. Voir « Mauvais type d’autorisation » si vous ajoutez accidentellement des permissions d’application.

3. Ajoutez ces cinq permissions une par une :

   Autorisation	Objectif
   AgentIdentityBlueprint.ReadWrite.All	Gérer les configurations Agent Blueprint (API bêta)
   AgentIdentityBlueprint.UpdateAuthProperties.All	Mettre à jour les permissions héréditaires de l’agent Blueprint (API bêta)
   Application.ReadWrite.All	Créer et gérer des applications et des plans d’agent
   DelegatedPermissionGrant.ReadWrite.All	Accorder des autorisations pour les plans des agents
   Directory.Read.All	Lire les données du répertoire pour validation

   Pour chaque autorisation :

   • Dans la barre de recherche, tapez le nom de l’autorisation (par exemple, AgentIdentityBlueprint.ReadWrite.All).
   • Cochez la case à cocher à côté de l’autorisation.
   • Sélectionnez Ajouter des autorisations.
   • Répétez pour les cinq permissions.

4. Sélectionnez Accorder le consentement administrateur pour [Votre locataire].

   • Pourquoi est-ce nécessaire ? Les plans d’identité d’agent sont des ressources à l’échelle du locataire auxquelles plusieurs utilisateurs et applications peuvent se référer. Sans le consentement de l’ensemble du locataire, la CLI échoue lors de l’authentification.
   • Et si ça échoue ? Vous avez besoin d’un rôle d’Administrateur d’Applications, d’Administrateur d’Application Cloud ou d’Administrateur Global. Demandez de l’aide à votre administrateur locataire.

5. Vérifiez que toutes les permissions affichent des coches vertes sous Statut.

Si les autorisations bêta (AgentIdentityBlueprint.*) ne sont pas visibles, passez à l’option B.

Option B : API Microsoft Graph (pour les autorisations bêta)

Utilisez cette méthode si AgentIdentityBlueprint.* les autorisations ne sont pas visibles dans le centre d’administration Microsoft Entra.

Avertissement

Si vous utilisez cette méthode API, n’utilisez pas le bouton « Accorder le consentement administrateur » du centre d’administration Microsoft Entra par la suite. La méthode API accorde automatiquement le consentement des admins, et l’utilisation du bouton centre d’administration Microsoft Entra supprime vos autorisations bêta. Pour plus d’informations, voir Permissions bêta disparues.

1. Explorateur de graphes ouvert.

2. Connectez-vous avec votre compte administrateur (Administrateur d’application ou Administrateur d’application cloud).

3. Accordez le consentement administrateur en utilisant l’API Graph. Pour effectuer cette étape, vous avez besoin des éléments suivants :

   • ID de principal du service. Il vous faut une SP_OBJECT_ID valeur variable.
   • ID de ressource du graphe. Il vous faut une GRAPH_RESOURCE_ID valeur variable.
   • Créer (ou mettre à jour) les permissions déléguées en utilisant le type de ressource oAuth2PermissionGrant avec les SP_OBJECT_ID valeurs des variables et GRAPH_RESOURCE_ID .

Utilisez les informations des sections suivantes pour compléter ces étapes.

Obtenez votre ID de principal de service

Un principal de service est l’identité de votre application dans votre locataire. Vous en avez besoin avant de pouvoir accorder des autorisations via l’API.

1. Configurez la méthode Graph Explorer sur GET et utilisez cette URL. Remplacez <YOUR_CLIENT_APP_ID> par votre véritable ID client Application à l’étape 3 : Copiez l’ID Application (client) :

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '<YOUR_CLIENT_APP_ID>'&$select=id
   

2. Sélectionnez Exécuter la requête.

   • Si la requête réussit, la valeur retournée est votre SP_OBJECT_ID.

   • Si la requête échoue avec une erreur de permissions, sélectionnez l’onglet Modifier les permissions , consentez aux autorisations requises, puis sélectionnez à nouveau Exécuter la requête . La valeur retournée est votre SP_OBJECT_ID.

   • Si la requête retourne des résultats vides ("value": []), créez le principal de service en suivant les étapes suivantes :

     1. Définir la méthode pour POST et utiliser cette URL :

        https://graph.microsoft.com/v1.0/servicePrincipals
        

        Corps de demande (remplacez YOUR_CLIENT_APP_ID par l’identifiant client de votre application) :

        {
           "appId": "YOUR_CLIENT_APP_ID"
        }
        

     2. Sélectionnez Exécuter la requête. Vous devriez recevoir une 201 Created réponse. La id valeur retournée est votre SP_OBJECT_ID.

Obtenez votre identifiant de ressource Graph

1. Réglez la méthode Graph Explorer sur GET et utilisez cette URL :

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '00000003-0000-0000-c000-000000000000'&$select=id
   

2. Sélectionnez Exécuter la requête.

   • Si la requête réussit, copiez la id valeur. Cette valeur est votre GRAPH_RESOURCE_ID.
   • Si la requête échoue avec une erreur de permissions, sélectionnez l’onglet Modifier les permissions , consentez aux autorisations requises, puis sélectionnez à nouveau Exécuter la requête . Copiez la valeur de id. Cette valeur est votre GRAPH_RESOURCE_ID.

Créer des permissions déléguées

Cet appel API accorde le consentement administrateur à l’échelle du locataire pour les cinq permissions, y compris les deux autorisations bêta qui ne sont pas visibles dans le centre d’administration Microsoft Entra.

1. Réglez la méthode Graph Explorer sur POST et utilisez cette URL ainsi que le corps de la requête :

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   

   Corps de la demande :

   {
   "clientId": "<SP_OBJECT_ID>",
   "consentType": "AllPrincipals",
   "principalId": null,
   "resourceId": "<GRAPH_RESOURCE_ID>",
   "scope": "Application.ReadWrite.All Directory.Read.All DelegatedPermissionGrant.ReadWrite.All AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All"
   }
   

2. Sélectionnez Exécuter la requête.

   • Si vous obtenez 201 Created une réponse : Succès ! Le scope champ dans la réponse affiche les cinq noms d’autorisation. Tu as terminé.
   • Si la requête échoue avec une erreur d’autorisations (probablement DelegatedPermissionGrant.ReadWrite.All), sélectionnez l’onglet Modifier les permissions , consentez à DelegatedPermissionGrant.ReadWrite.All, puis sélectionnez Exécuter la requête à nouveau.
   • Si vous recevez une erreur Request_MultipleObjectsWithSameKeyValue: une subvention existe déjà. Peut-être que quelqu’un a ajouté des permissions plus tôt. Voir la mise à jour suivante des autorisations déléguées.

Avertissement

La consentType: "AllPrincipals" demande POSTaccorde déjà le consentement administratif à l’échelle du locataire. NE SÉLECTIONNEZ PAS « Accorder le consentement administrateur » dans le centre d’administration Microsoft Entra après avoir utilisé cette méthode API – cela supprime vos permissions bêta car le centre d’administration Microsoft Entra ne peut pas voir les permissions bêta et écrase votre consentement accordé par l’API avec seulement les autorisations visibles.

Mettre à jour les autorisations déléguées

Lorsque vous recevez une Request_MultipleObjectsWithSameKeyValue erreur en utilisant les étapes pour créer des permissions déléguées, utilisez ces étapes pour mettre à jour les permissions déléguées.

1. Réglez la méthode Graph Explorer sur GET et utilisez cette URL :

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'SP_OBJECT_ID_FROM_ABOVE'
   

2. Sélectionnez Exécuter la requête. Copiez la valeur id de la réponse. Cette valeur est YOUR_GRANT_ID.

3. Réglez la méthode Graph Explorer sur PATCH et utilisez cette URL avec YOUR_GRANT_ID.

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants/<YOUR_GRANT_ID>
   

   Corps de la demande :

   {
      "scope": "Application.ReadWrite.All Directory.Read.All DelegatedPermissionGrant.ReadWrite.All AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All"
   }
   

4. Sélectionnez Exécuter la requête. Vous devriez recevoir une 200 OK réponse avec les cinq autorisations sur le scope terrain.

Bonnes pratiques de sécurité

Consultez ces directives pour garantir la sécurité et la conformité à votre inscription à votre application.

À faire :

• Utilisez l’enregistrement en locataire unique.
• N’accordez que les autorisations déléguées requises.
• Auditez régulièrement les autorisations.
• Supprimez l’application quand ce n’est plus nécessaire.

À ne pas faire :

• Accordez des autorisations d’application. N’utilisez que délégué.
• Partagez publiquement l’identifiant client.
• Accordez d’autres autorisations inutiles.
• Utilisez l’application pour d’autres usages.

Étapes suivantes

Après avoir enregistré votre application client personnalisée, utilisez-la avec la CLI Agent 365 dans le cycle de développement Agent 365 :

Cycle de vie du développement de l’Agent 365

Résolution des problèmes

Cette section explique comment dépanner les erreurs lors de l’enregistrement personnalisé d’une application client.

Conseil / Astuce

Le Guide de dépannage de l’Agent 365 contient des recommandations générales de dépannage, les meilleures pratiques et des liens vers du contenu de dépannage pour chaque étape du cycle de développement de l’Agent 365.

Échec de validation de la CLI lors de la configuration

Symptôme:Exécutiona365 config init de commande ou a365 setup échec avec des erreurs de validation concernant votre application cliente personnalisée.

Solution : Utilisez cette liste de contrôle pour vérifier que votre inscription à l’application est correcte :

# Run configuration to see validation messages
a365 config init

Résultat attendu : Affiche Custom client app validation successfulla CLI.

Si vous n’obtenez pas le résultat attendu, vérifiez chacune des vérifications suivantes :

Vérifier	Comment vérifier	Réparer
✅ Utilisation du bon ID	Vous avez copié l’ID Application (client ) (et non l’ID d’objet)	Aller à l’aperçu de l’application dans le centre d’administration Microsoft Entra
✅ Autorisations déléguées	Permissions afficher Type : Délégué dans les permissions API	Voir Type de permission incorrect
✅ Toutes les permissions ajoutées	Voir toutes les permissions listées ci-dessous	Suivez à nouveau l’étape 4
✅ Consentement administrateur accordé	Tous affichent la coche verte sous Statut	Voir Consentement administrateur accordé incorrectement

Autorisations déléguées requises :

• Application.ReadWrite.All
• AgentIdentityBlueprint.ReadWrite.All [Bêta]
• AgentIdentityBlueprint.UpdateAuthProperties.All [Bêta]
• Directory.Read.All
• DelegatedPermissionGrant.ReadWrite.All

Consentement administrateur accordé incorrectement

Symptôme: La validation échoue même si des permissions sont ajoutées.

Cause profonde : Le consentement administrateur n’est pas accordé, ou est accordé incorrectement.

Solution : La bonne solution dépend de la méthode que vous avez utilisée :

Si vous avez utilisé	Comment accorder le consentement	Avertissement
Option A (centre d’administration Microsoft Entra uniquement)	Sélectionnez Accorder le consentement administrateur pour [Votre locataire] dans le centre d’administration Microsoft Entra	✅ Utilisation sûre du bouton du centre d’administration de Microsoft Entra
Option B (API Graph)	Le consentement administrateur est déjà accordé lors de la POST demande	⚠️ NE PAS utiliser le bouton du centre d’administration Microsoft Entra - il supprime vos autorisations bêta

Si vous utilisez accidentellement le centre d’administration Microsoft Entra après l’option B : Vous supprimez vos autorisations de bêta. Suivez, mettez à jour les autorisations déléguées pour les restaurer.

Mauvais type de permission

Symptôme : Échec de la ligne de commande (LI) avec des erreurs d’authentification ou des erreurs de refus d’autorisation.

Cause profonde : Vous avez ajouté des permissions Application au lieu des permissions déléguées.

Ce tableau décrit les différents types d’autorisations.

Type d’autorisation	Quand utiliser	Comment l’utilisation de l’Agent 365 CLI
Délégué (« Portée »)	L’utilisateur se connecte de manière interactive	Agent 365 CLI utilise ceci - Vous vous connectez, CLI agit en votre nom
Candidature (« Rôle »)	Le service s’exécute sans utilisateur	Ne pas utiliser - uniquement pour les services en arrière-plan/démons

Pourquoi délégué ?

• Vous vous connectez de manière interactive (authentification du navigateur)
• CLI effectue des actions comme vous (les audittrails montrent votre identité)
• Plus sécurisé - limité par vos autorisations réelles
• Assure la responsabilité et la conformité

Solution:

1. Rendez-vous sur le centre > d’applications > d’application >
2. Supprimez toutes les permissions d’application. Ces permissions apparaissent sous la rubrique Application dans la colonne Type .
3. Ajoutez les mêmes permissions que les autorisations déléguées .
4. Accordez à nouveau le consentement administratif.

Les permissions bêta disparaissent après le consentement de l’administrateur du centre d’administration Microsoft Entra

Symptôme : Vous avez utilisé l’option B : l’API Microsoft Graph (pour les autorisations bêta) pour ajouter des autorisations bêta, mais elles disparaissent après avoir sélectionné Accorder le consentement administrateur dans le centre d’administration Microsoft Entra.

Cause principale : le centre d’administration Microsoft Entra n’affiche pas les autorisations bêta dans l’interface. Lorsque vous sélectionnez Accorder le consentement de l’administrateur, le portail accorde le consentement uniquement pour les autorisations visibles et écrase le consentement accordé par l’API.

Pourquoi cela se produit :

1. Vous utilisez l’API Graph (option B) pour ajouter les cinq permissions, y compris les autorisations bêta.
2. L’appel API accorde déjà le consentement administrateur à l’échelle du locataire.consentType: "AllPrincipals"
3. Vous allez dans le centre d’administration Microsoft Entra et ne voyez que trois permissions car les autorisations bêta sont invisibles.
4. Vous sélectionnez Accorder le consentement administrateur en pensant que vous en avez besoin.
5. Le centre d’administration Microsoft Entra écrase votre consentement accordé par l’API avec seulement les trois autorisations visibles.
6. Vos deux autorisations bêta sont maintenant supprimées.

Solution:

• N’utilisez pas le consentement administrateur du centre d’administration Microsoft Entra après la méthode API : La méthode API accorde déjà le consentement de l’admin.
• Si vous supprimez accidentellement les permissions bêta, relancez l’Option B Étape 3 (accorder le consentement administrateur via l’API Graph) pour les restaurer. Si vous recevez une Request_MultipleObjectsWithSameKeyValue erreur, suivez les étapes pour mettre à jour les permissions déléguées.
• Pour vérifier que les cinq autorisations sont listées, cochez le scope champ dans la POST réponse ou.PATCH

Application non trouvée lors de la validation

Symptôme: Rapports Application not found ou Invalid client ID erreurs de CLI.

Solution:

1. Vérifiez que vous avez copié l’ID Application (client) au format GUID, et non l’ID de l’objet :

   • Rendez-vous sur le centre> d’administration MicrosoftEntra Inscriptions> aux applications Aperçu de votre application >
   • Copiez la valeur sous l’ID Application (client)
   • Le format doit être : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

2. Vérifiez que l’application existe dans votre locataire :

   # Sign in to the correct tenant
   az login
   
   # List your app registrations
   az ad app list --display-name "<The display name of your app>"
   

Apprenez comment enregistrer une application dans Microsoft Entra ID.