Microsoft Entra permissions

A Microsoft Entra-alkalmazás regisztrálásakor engedélyt ad a különböző API-k elérésére. Az igények változásával érdemes lehet módosítani ezeket az engedélyeket. Ez a cikk bemutatja, hogyan.

Megjegyzés:

A Microsoft Entra alkalmazásengedélyei csak az alábbi esetekben alkalmazhatók:

• Beágyazás a szervezet számára
• Beágyazás az ügyfelek számára a fő felhasználói hitelesítési módszerrel

A Microsoft Entra-alkalmazás engedélybeállításainak szerkesztése

Az engedélymódosítások programozott módon vagy az Azure Portalon is végezhetők.

Azure Portal

Az Azure Portalon megtekintheti az alkalmazást, és módosíthatja annak engedélyeit.

1. Sign into the Azure portal.

2. Válassza ki a Microsoft Entra-bérlőt a lap jobb felső sarkában található fiók kiválasztásával.

3. Select App registrations. Ha nem látja ezt a lehetőséget, keressen rá.

4. A Saját alkalmazások lapon válassza ki az alkalmazást. Az alkalmazás megnyílik az Áttekintés lapon, ahol áttekintheti az alkalmazásazonosítót.

5. Válassza a View API Permissions (API-engedélyek megtekintése) lapot.

   

6. Válassza az Engedély hozzáadása lehetőséget.

7. Engedélyek hozzáadásához kövesse az alábbi lépéseket (vegye figyelembe, hogy az első lépés a GCC-alkalmazások esetében eltérő):

   1. A Microsoft API-k lapon válassza a Power BI szolgáltatás.

      Megjegyzés:

      GCC-alkalmazások esetén válassza ki a szervezetem által használt API-kat, és keressen rá a Microsoft Power BI Government közösségi felhőre VAGY fc4979e5-0aaa5-429f-b13a-5d1365be5566.

   2. Válassza a Delegált engedélyek lehetőséget, és adja hozzá vagy távolítsa el a szükséges engedélyeket.

   3. Ha végzett, válassza az Engedélyek hozzáadása lehetőséget a módosítások mentéséhez.

8. Engedély eltávolításához kövesse az alábbi lépéseket:

   1. Válassza ki az engedély jobb oldalán található három pontot (...).

   2. Válassza az Eltávolítás engedély lehetőséget.

   3. Az Engedély eltávolítása előugró ablakban válassza az Igen, eltávolítás lehetőséget.

HTTP

A Microsoft Entra-alkalmazás engedélyeinek programozott módosításához be kell szereznie a bérlőn belül a meglévő szolgáltatásneveket (felhasználókat). Ennek módjáról a servicePrincipal című témakörben olvashat.

1. Az összes szolgáltatásnév bérlőn belüli lekéréséhez hívja meg az Get servicePrincipal API-t anélkül {ID}.

2. Ellenőrizze, hogy van-e szolgáltatásnév az alkalmazás alkalmazásazonosítójával a appId tulajdonságként. (displayName nem kötelező.)

   Post https://graph.microsoft.com/v1.0/servicePrincipals HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "accountEnabled" : true,
   "appId" : "{App_Client_ID}",
   "displayName" : "{App_DisplayName}"
   }
   

3. Adjon Power BI-engedélyeket az alkalmazásnak az alábbi értékek consentTypeegyikének hozzárendelésével:

   • AllPrincipals – A Power BI-rendszergazda csak a bérlő összes felhasználója nevében adhat engedélyeket.

   • Principal – Engedélyek adott felhasználó nevében történő megadására használható. Ha ezt a lehetőséget használja, adja hozzá a principalId={User_ObjectId} tulajdonságot a kérelem törzséhez.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"c78a3685-1ce7-52cd-95f7-dc5aea8ec98e",
   "scope":"Dataset.ReadWrite.All Dashboard.Read.All Report.Read.All Group.Read Group.Read.All Content.Create Metadata.View_Any Dataset.Read.All Data.Alter_Any",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

   Megjegyzés:

   • Ha főfelhasználót használ, annak érdekében, hogy a Microsoft Entra ID ne kérje a hozzájárulást, engedélyeket kell adnia a fő fióknak.
   • A resourceIdc78a3685-1ce7-52cd-95f7-dc5aea8ec98e bérlőfüggő és nem univerzális. Ez az érték a Power BI Szolgáltatásalkalmazás objectId azonosítója a Microsoft Entra-azonosítóban. Ha ezt az értéket az Azure Portalról szeretné lekérni, keresse meg a Vállalati alkalmazások > minden alkalmazást, és keresse meg a Power BI Szolgáltatást.

4. Adjon alkalmazásengedélyeket a Microsoft Entra-azonosítónak consentTypeegy érték hozzárendelésével.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"61e57743-d5cf-41ba-bd1a-2b381390a3f1",
   "scope":"User.Read Directory.AccessAsUser.All",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

C#

A Microsoft Entra alkalmazásengedélyeit a C# használatával is módosíthatja. További információ: oAuth2PermissionGrant API. Ez a módszer akkor lehet hasznos, ha néhány folyamat automatizálását fontolgatja.

var graphClient = GetGraphClient();

currentState.createdApp = await graphClient.Applications
    .Request()
    .AddAsync(application);

System.Threading.Thread.Sleep(2000);

var passwordCredential = new PasswordCredential
{
    DisplayName = "Client Secret Created in C#"
};

currentState.createdSecret = await graphClient.Applications[currentState.createdApp.Id]
    .AddPassword(passwordCredential)
    .Request()
    .PostAsync();

var servicePrincipal = new ServicePrincipal
{
    AppId = currentState.createdApp.AppId
};

currentState.createdServicePrincipal = await graphClient.ServicePrincipals
    .Request()
    .AddAsync(servicePrincipal);

GraphServiceClient graphClient = new GraphServiceClient(authProvider);

// Use oAuth2PermissionGrant to change permissions
var oAuth2PermissionGrant = await graphClient.Oauth2PermissionGrants["{id}"]
               .Request()
               .GetAsync();

Kapcsolódó tartalom

• A beágyazási jogkivonat létrehozásakor megfontolandó szempontok
• Kapacitás és termékváltozatok beágyazott Power BI-elemzésekben