Bérlőszintű rendszergazdai jóváhagyás megadása egy alkalmazáshoz
Ebből a cikkből megtudhatja, hogyan adhat bérlői szintű rendszergazdai hozzájárulást egy alkalmazáshoz a Microsoft Entra-azonosítóban. Az egyes felhasználói hozzájárulási beállítások konfigurálásának megismeréséhez tekintse meg a végfelhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető témakört.
Amikor bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, hozzáférést ad az alkalmazásnak a teljes szervezet nevében kért engedélyekhez. A rendszergazdai hozzájárulás megadása egy szervezet nevében bizalmas művelet, amely lehetővé teszi az alkalmazás közzétevőjének a szervezet adatainak jelentős részére való hozzáférést, vagy a magas jogosultsági szintű műveletek elvégzésére vonatkozó engedélyt. Ilyen műveletek lehetnek például a szerepkör-kezelés, az összes postaládához vagy webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés. Ezért a hozzájárulás megadása előtt alaposan át kell tekintenie az alkalmazás által kért engedélyeket.
Alapértelmezés szerint, ha bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, minden felhasználó hozzáférhet az alkalmazáshoz, kivéve, ha más módon korlátozva van. Ha korlátozni szeretné, hogy mely felhasználók jelentkezhetnek be egy alkalmazásba, konfigurálja az alkalmazást úgy, hogy felhasználói hozzárendelést igényeljen, majd rendeljen hozzá felhasználókat vagy csoportokat az alkalmazáshoz.
Fontos
A bérlőszintű rendszergazdai hozzájárulás megadása visszavonhatja azokat az engedélyeket, amelyek már bérlői szintű engedélyt kaptak az adott alkalmazáshoz. A felhasználók által a saját nevükben megadott engedélyekre nincs hatással.
Előfeltételek
A bérlőszintű rendszergazdai hozzájárulás megadásához olyan felhasználóként kell bejelentkeznie, aki jogosult a szervezet nevében megadni a hozzájárulást.
A bérlőszintű rendszergazdai hozzájárulás megadásához a következőkre van szükség:
Microsoft Entra-felhasználói fiók az alábbi szerepkörök egyikével:
- Privileged Role Rendszergazda istrator, a hozzájárulás megadásához bármilyen engedélyt kérő alkalmazásokhoz, bármely API-hoz.
- Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator, a Microsoft Graph alkalmazásszerepköreinek (alkalmazásengedélyek) kivételével bármely API-hoz engedélyt kérő alkalmazások hozzájárulásának megadásához.
- Egy egyéni címtárszerepkör, amely tartalmazza az alkalmazások engedélyeinek megadására vonatkozó engedélyt az alkalmazás által igényelt engedélyekhez.
Bérlőszintű rendszergazdai hozzájárulás megadása az Enterprise Apps panelen
Ha az alkalmazás már ki van építve a bérlőben, a Vállalati alkalmazások panelen adhat bérlőszintű rendszergazdai hozzájárulást. Egy alkalmazás például akkor építhető ki a bérlőben, ha legalább egy felhasználó már megadta a hozzájárulását az alkalmazáshoz. További információ: Hogyan és miért vannak hozzáadva alkalmazások a Microsoft Entra-azonosítóhoz.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha bérlőszintű rendszergazdai hozzájárulást szeretne adni a Vállalati alkalmazások panelen felsorolt alkalmazásokhoz :
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
- Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
- Válassza az Engedélyek lehetőséget a Biztonság területen.
- Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért az alkalmazás által igényelt engedélyekkel, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.
Rendszergazdai hozzájárulás megadása Alkalmazásregisztrációk panelen
Bérlőszintű rendszergazdai hozzájárulást adhat Alkalmazásregisztrációk a Microsoft Entra felügyeleti központban a szervezet által fejlesztett és regisztrált alkalmazásokhoz, közvetlenül a Microsoft Entra-bérlőben.
Bérlőszintű rendszergazdai hozzájárulás megadása Alkalmazásregisztrációk:
- A Microsoft Entra Felügyeleti központban keresse meg az Identity Applications Alkalmazásregisztrációk All applications (Identitásalkalmazások>>)> lehetőséget.
- Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
- Válassza ki az API-engedélyeket a Kezelés területen.
- Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.
A bérlőszintű rendszergazdai hozzájárulás megadásához szükséges URL-cím létrehozása
Ha bérlőszintű rendszergazdai hozzájárulást ad meg az előző szakaszban ismertetett bármelyik módszerrel, a Microsoft Entra felügyeleti központjából megnyílik egy ablak, amely bérlőszintű rendszergazdai hozzájárulást kér. Ha ismeri az alkalmazás ügyfél-azonosítóját (más néven alkalmazásazonosítóját), létrehozhatja ugyanazt az URL-címet a bérlőszintű rendszergazdai hozzájárulás megadásához.
A bérlőszintű rendszergazdai hozzájárulás URL-címe a következő formátumot követi:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}
ahol:
- a
{client-id}
az alkalmazás ügyfél-azonosítója (más néven alkalmazásazonosítója). {organization}
a bérlőazonosító vagy annak a bérlőnek az ellenőrzött tartományneve, amelyben engedélyezni szeretné az alkalmazást. Használhatja azt az értéketorganizations
, amely miatt a hozzájárulás a bejelentkezett felhasználó otthoni bérlőjében történik.
Mint mindig, a hozzájárulás megadása előtt gondosan nézze át az alkalmazáskérések tartalmát.
A bérlőszintű rendszergazdai hozzájárulás URL-címének kiépítéséről további információt a Microsoft Identitásplatform Rendszergazda hozzájárulásában talál.
Rendszergazdai hozzájárulás megadása delegált engedélyekhez a Microsoft Graph PowerShell használatával
Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.
Az alábbi példában az erőforrás API a Microsoft Graph objektumazonosítója 11112222-bbbb-3333-cccc-4444dddd5555
. A Microsoft Graph API határozza meg a delegált engedélyeket és User.Read.All
Group.Read.All
a . A consentType azt AllPrincipals
jelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő 00001111-aaaa-2222-bbbb-3333cccc4444
: .
Figyelemfelhívás
Légy óvatos! A programozott módon megadott engedélyekre nincs szükség felülvizsgálatra vagy megerősítésre. Azonnal érvénybe lépnek.
Csatlakozás a Microsoft Graph PowerShellbe, és jelentkezzen be legalább egy Felhőalkalmazás-Rendszergazda istrator.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:
User.Read.All
Group.Read.All
Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
Adja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.
$params = @{ "ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444" "ConsentType" = "AllPrincipals" "ResourceId" = "11112222-bbbb-3333-cccc-4444dddd5555" "Scope" = "User.Read.All Group.Read.All" } New-MgOauth2PermissionGrant -BodyParameter $params | Format-List Id, ClientId, ConsentType, ResourceId, Scope
Az alábbi kérés futtatásával győződjön meg arról, hogy bérlőszintű rendszergazdai hozzájárulást adott.
Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'"
Rendszergazdai hozzájárulás megadása alkalmazásengedélyekhez a Microsoft Graph PowerShell használatával
Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.
Az alábbi példában a Microsoft Graph-alkalmazásnak (az azonosító aaaaaaaa-bbbb-cccc-1111-222222222222
főkiszolgálójának) egy olyan alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214
ad meg, amelyet egy azonosítójú 11112222-bbbb-3333-cccc-4444dddd5555
erőforrás API elérhetővé téve.
Csatlakozás a Microsoft Graph PowerShellbe, és jelentkezzen be legalább egy Privileged Role Rendszergazda istrator.
Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a bérlőben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója.
df021288-bdef-4463-88db-98f22de89214
Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
Az alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.
$params = @{
"PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
"ResourceId" = "11112222-bbbb-3333-cccc-4444dddd5555"
"AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params |
Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName
A Graph Explorer használatával delegált és alkalmazásengedélyeket is adhat.
Rendszergazdai hozzájárulás megadása delegált engedélyekhez a Microsoft Graph API használatával
Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.
Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.
Az alábbi példában az erőforrás API a Microsoft Graph objektumazonosítója 11112222-bbbb-3333-cccc-4444dddd5555
. A Microsoft Graph API határozza meg a delegált engedélyeket és User.Read.All
Group.Read.All
a . A consentType azt AllPrincipals
jelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő 00001111-aaaa-2222-bbbb-3333cccc4444
: .
Figyelemfelhívás
Légy óvatos! A programozott módon megadott engedélyeket nem kell felülvizsgálni vagy megerősítést adni. Azonnal érvénybe lépnek.
Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:
User.Read.All
Group.Read.All
GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes
Adja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.
POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants Request body { "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444", "consentType": "AllPrincipals", "resourceId": "11112222-bbbb-3333-cccc-4444dddd5555", "scope": "User.Read.All Group.Read.All" }
Az alábbi kérés futtatásával győződjön meg arról, hogy bérlőszintű rendszergazdai hozzájárulást adott.
GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'
Rendszergazdai hozzájárulás megadása alkalmazásengedélyekhez a Microsoft Graph API használatával
Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.
Az alábbi példában a Microsoft Graph (az azonosító 00001111-aaaa-2222-bbbb-3333cccc4444
neve) egy olyan alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214
ad az alkalmazásnak, amelyet egy erőforrás-nagyvállalati azonosító-alkalmazás 11112222-bbbb-3333-cccc-4444dddd5555
elérhetővé téve.
Legalább emelt szintű szerepkörként kell bejelentkeznie Rendszergazda istratorként.
Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a bérlőben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója
df021288-bdef-4463-88db-98f22de89214
GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles
Az alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.
POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo Request body { "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "resourceId": "11112222-bbbb-3333-cccc-4444dddd5555", "appRoleId": "df021288-bdef-4463-88db-98f22de89214" }