Registrazione personalizzata dell'app client per la CLI dell'Agente 365

Importante

È necessario far parte del programma di anteprima Frontier per ottenere l'accesso early a Microsoft Agent 365. Frontier ti connette direttamente con le ultime innovazioni di intelligenza artificiale di Microsoft. Le anteprime Frontier sono soggette alle condizioni di anteprima esistenti dei tuoi contratti del cliente. Poiché queste funzionalità sono ancora in fase di sviluppo, la disponibilità e le funzionalità possono cambiare nel tempo.

La CLI di Agent 365 richiede una registrazione dell'app client personalizzata nel tenant Microsoft Entra ID per autenticare e gestire i Blueprints di identità dell'agente.

Questo articolo suddivide il processo in quattro fasi principali:

1. Domanda di registrazione
2. Imposta l'URI di Redirect
3. Copia l'ID applicazione (client)
4. Configurare le autorizzazioni API

Se hai problemi, consulta la sezione Risoluzione dei problemi .

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a Interfaccia di amministrazione di Microsoft Entra e, se necessario, uno dei ruoli di amministratore necessari per concedere il consenso.

Per registrare l'app

Per impostazione predefinita, qualsiasi utente nel tenant può registrare applicazioni nel Centro di amministrazione di Microsoft Entra. Tuttavia , gli amministratori dei tenant possono limitare questa capacità. Se non puoi registrare la tua app, contatta il tuo amministratore.

Aggiungere permessi e concedere il consenso

Ti serve uno di questi ruoli amministrativi per 4. Configura i permessi dell'API.

• Amministratore dell'Applicazione: Consigliato - può gestire le registrazioni delle applicazioni e concedere il consenso
• Amministratore delle applicazioni cloud: può gestire le registrazioni delle app e concedere il consenso
• Amministratore Globale: Ha tutti i permessi, ma non è obbligatorio

Suggerimento

Non hai accesso da amministratore? Puoi completare tu stesso i passaggi 1-3, poi chiedere al tuo amministratore inquilino di completare il passaggio 4. Fornisci loro l'ID applicazione (client) dal passaggio 3 e un collegamento alla sezione Configurare le autorizzazioni delle API.

1. Registrazione della domanda

Queste istruzioni riassumono tutte le istruzioni per creare una registrazione dell'app.

1. Passare a Interfaccia di amministrazione di Microsoft Entra

2. Selezionare Registrazioni app

3. Seleziona Nuova registrazione

4. Inserire:

   • Nome: inserisci un nome significativo per la tua app, come my-agent-app. Gli utenti dell'app visualizzano questo nome e possono essere modificati in qualsiasi momento. È possibile avere più registrazioni dell'app con lo stesso nome.

     Suggerimento

     Per utilizzare il flusso senza configurazione a365 setup all --agent-name, assegna il nome Agent 365 CLI esattamente all'app. Il CLI identifica automaticamente l'app client tramite il noto nome visualizzato, pertanto non è necessario inserire manualmente l'ID client in un file di configurazione.

   • Tipi di account supportati: account solo in questa directory organizzativa (tenant singolo)

   • Reindirizza URI: seleziona Public client/native (mobile e desktop) e entra http://localhost:8400/

5. Selezionare Registra

L'interfaccia della riga di comando richiede tre URI di reindirizzamento in totale. L'interfaccia della riga di comando aggiunge automaticamente eventuali elementi mancanti durante l'esecuzione a365 config init o a365 setup requirements:

URI	Scopo
http://localhost:8400/	Libreria di Autenticazione Microsoft (MSAL)'autenticazione interattiva del browser
http://localhost	SDK PowerShell di Microsoft Graph Connect-MgGraph
ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}	Uso di Web Account Manager (WAM)

Per informazioni dettagliate, vedere Che cos'è la configurazione automatica dell'interfaccia della riga di comando .

2. Imposta l'URI di reindirizzamento

1. Vai su Panoramica e copia il valore ID dell'applicazione (client ).
2. Vai su Autenticazione (anteprima) e seleziona Aggiungi URI di reindirizzamento.
3. Selezionare Applicazioni mobili e desktop e impostare il valore su ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}, dove {client-id} è il valore Application (ID client) copiato.
4. Seleziona Configura per aggiungere il valore.

3. Copia dell'ID Applicazione (client)

Dalla pagina Panoramica dell'app, copia l'ID dell'applicazione (client) in formato GUID. Inserisci questo valore quando usi il a365 config init comando.

Suggerimento

Non confondere questo valore con l'ID oggetto: è necessario l'ID applicazione (client).

Se l'app Agent 365 CLI è stata denominata nel passaggio 1, è possibile ignorare questo passaggio quando si usa a365 setup all --agent-name. L'interfaccia della riga di comando risolve automaticamente l'ID client in base al nome visualizzato.

4. Configurare i permessi API

Importante

Per questo passaggio servono i privilegi da amministratore. Se sei uno sviluppatore senza accesso amministrativo, invia il tuo ID dell'applicazione (client) dal Passaggio 3 al tuo amministratore del tenant e chiedi loro di completare questo passaggio.

Annotazioni

A partire da dicembre 2025, le autorizzazioni AgentIdentityBlueprint.*, AgentInstance.* e AgentIdentity.* sono API beta e potrebbero non essere visibili nel Interfaccia di amministrazione di Microsoft Entra. Se questi permessi diventano generalmente disponibili nel tuo tenant, puoi usare l'Opzione A per tutti i permessi.

Scegli il metodo appropriato:

• Option A: usare Interfaccia di amministrazione di Microsoft Entra per tutte le autorizzazioni (se le autorizzazioni beta sono visibili)
• Option B: usare Microsoft API Graph per aggiungere tutte le autorizzazioni (consigliate se le autorizzazioni beta non sono visibili)

Opzione A: Interfaccia di amministrazione di Microsoft Entra (metodo Standard)

Usare questo metodo se è possibile visualizzare le autorizzazioni beta nel tenant.

1. Nella registrazione dell'app passare a Autorizzazioni API.

2. Selezionare Aggiungi un'autorizzazione>Microsoft Graph> Autorizzazionidelegate.

   Importante

   È necessario usare autorizzazioni delegate (non autorizzazioni dell'applicazione). La CLI si autentica in modo interattivo: accedi e agisce per tuo conto. Per altre informazioni, vedere Tipo di autorizzazione errato.

3. Aggiungi queste dodici autorizzazioni una alla volta:

   Autorizzazione	Scopo
   AgentIdentityBlueprintPrincipal.Create	Creare il principal servizio di Agent Blueprint (API beta)
   AgentIdentityBlueprint.ReadWrite.All	Gestire le configurazioni di Agent Blueprint (API beta)
   AgentIdentityBlueprint.UpdateAuthProperties.All	Aggiorna i permessi ereditari di Agent Blueprint (beta API)
   AgentIdentityBlueprint.AddRemoveCreds.All	Aggiungere o rimuovere segreti dei client e credenziali di identità federata nei blueprints (API beta)
   AgentIdentityBlueprint.DeleteRestore.All	Eliminare le applicazioni di Agent Blueprint durante la pulizia (API beta)
   AgentInstance.ReadWrite.All	Registrare e gestire le istanze dell'agente tramite l'API del Registro di sistema dell'agente (API beta)
   AgentIdentity.Create.All	Creare identità agente da progetti (API beta)
   AgentIdentity.DeleteRestore.All	Eliminare i principali di servizio dell'identità dell'agente durante la pulizia (API beta)
   AgentRegistrations.ReadWrite.All	Registrare e gestire gli agenti tramite l'API Registrazioni agente (API beta)
   DelegatedPermissionGrant.ReadWrite.All	Concedere permessi per i progetti degli agenti
   Directory.Read.All	Leggi i dati della directory per la validazione
   User.Read	Leggere il profilo dell'utente connesso per l'assegnazione del proprietario del blueprint.

   Annotazioni

   AgentRegistrations.ReadWrite.All è obbligatorio per l'installazione dell'agente. L'interfaccia della riga di comando acquisisce questa autorizzazione silenziosamente tramite .default e il validator dell'interfaccia della riga di comando di Agent 365 non la verifica in modo esplicito, ma deve essere presente nella registrazione della tua app e deve avere il consenso dell'amministratore concesso.

   Per ogni permesso:

   • Nella casella di ricerca, digita il nome del permesso (ad esempio, AgentIdentityBlueprint.ReadWrite.All).
   • Seleziona la casella accanto al permesso.
   • Selezionare Aggiungi autorizzazioni.
   • Ripetere per tutte e dodici le autorizzazioni.

4. Seleziona Concede il consenso amministrativo per [Il tuo inquilino].

   • Perché è richiesto? I Agent Identity Blueprint sono risorse a livello di tenant a cui più utenti e applicazioni possono fare riferimento. Senza il consenso di tutto il tenant, la CLI fallisce durante l'autenticazione.
   • E se fallisce? Serve un ruolo da Amministratore delle Applicazioni, Amministratore delle Applicazioni Cloud o Amministratore Globale. Chiedi aiuto all'amministratore del tuo inquilino.

5. Verifica che tutti i permessi mostrino segni di spunta verdi sotto Stato.

Se le autorizzazioni beta (AgentIdentityBlueprint.*) non sono visibili, passare all'opzione B.

Opzione B: Microsoft API Graph (per le autorizzazioni beta)

Usare questo metodo se Interfaccia di amministrazione di Microsoft Entra non visualizza le autorizzazioni AgentIdentityBlueprint.*.

Avvertimento

Se usi questo metodo API, non usare il pulsante "Concedi consenso amministratore" di Interfaccia di amministrazione di Microsoft Entra dopo. Il metodo API concede automaticamente il consenso amministratore e usando il pulsante Interfaccia di amministrazione di Microsoft Entra elimina le autorizzazioni beta. Per maggiori informazioni, vedi Permessi Beta scomparire.

1. Apri Esploratore Grafico.

2. Accedi con il tuo account amministratore (Amministratore delle applicazioni o Amministratore delle applicazioni cloud).

3. Concedere il consenso dell'amministratore usando API Graph. Per completare questo passaggio, è necessario:

   • ID del servizio principale. Ti serve un SP_OBJECT_ID valore variabile.
   • ID risorsa del grafico. Ti serve un GRAPH_RESOURCE_ID valore variabile.
   • Crea (o aggiorna) i permessi delegati utilizzando il tipo di risorsa oAuth2PermissionGrant con i SP_OBJECT_ID valori variabili e GRAPH_RESOURCE_ID .

Utilizza le informazioni nelle sezioni seguenti per completare questi passaggi.

Ottieni il tuo ID di committente di servizio

Un service principal è l'identità della tua app nel tuo tenant. Ti serve prima di poter concedere i permessi tramite l'API.

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL. Sostituisci <YOUR_CLIENT_APP_ID> con il tuo ID client dell'applicazione effettivo dal Passo 3: Copia l'ID client dell'applicazione:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '<YOUR_CLIENT_APP_ID>'&$select=id
   

2. Seleziona Esegui query.

   • Se la query ha successo, il valore restituito è il tuo SP_OBJECT_ID.

   • Se la query fallisce con un errore di permessi, seleziona la scheda Modifica permessi , acconsenti ai permessi richiesti, poi seleziona di nuovo Esegui consulta . Il valore restituito è il tuo SP_OBJECT_ID.

   • Se la query restituisce risultati vuoti ("value": []), crea il principale del servizio utilizzando i seguenti passaggi:

     1. Imposta il metodo su POST e usa questo URL:

        https://graph.microsoft.com/v1.0/servicePrincipals
        

        Corpo della richiesta (sostituisci YOUR_CLIENT_APP_ID con il vero ID client della tua applicazione):

        {
           "appId": "YOUR_CLIENT_APP_ID"
        }
        

     2. Seleziona Esegui query. Dovresti ricevere una 201 Created risposta. Il id valore restituito è il tuo SP_OBJECT_ID.

Ottieni il tuo ID di risorsa Graph

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '00000003-0000-0000-c000-000000000000'&$select=id
   

2. Seleziona Esegui query.

   • Se la query ha esito positivo, copia il valore id. Questo valore è il tuo GRAPH_RESOURCE_ID.
   • Se la query fallisce con un errore di permessi, seleziona la scheda Modifica permessi , acconsenti ai permessi richiesti, poi seleziona di nuovo Esegui consulta . Copiare il valore id. Questo valore è il tuo GRAPH_RESOURCE_ID.

Crea permessi delegati

Questa chiamata API concede il consenso amministratore a livello di tenant per tutte e dodici le autorizzazioni, incluse le autorizzazioni beta non visibili in Interfaccia di amministrazione di Microsoft Entra.

1. Imposta il metodo Esplora Grafici su POST e usa questo URL e il corpo della richiesta:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   

   Corpo richiesto:

   {
   "clientId": "<SP_OBJECT_ID>",
   "consentType": "AllPrincipals",
   "principalId": null,
   "resourceId": "<GRAPH_RESOURCE_ID>",
   "scope": "AgentIdentityBlueprintPrincipal.Create AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All AgentIdentityBlueprint.AddRemoveCreds.All AgentIdentityBlueprint.DeleteRestore.All AgentInstance.ReadWrite.All AgentIdentity.Create.All AgentIdentity.DeleteRestore.All AgentRegistrations.ReadWrite.All DelegatedPermissionGrant.ReadWrite.All Directory.Read.All User.Read"
   }
   

2. Seleziona Esegui query.

   • Se ricevi 201 Created risposta: Successo! Il scope campo nella risposta mostra tutti e dodici i nomi delle autorizzazioni. Hai finito.
   • Se la query fallisce con un errore di permessi (probabile DelegatedPermissionGrant.ReadWrite.All), seleziona la scheda Modifica permessi , acconsenti a DelegatedPermissionGrant.ReadWrite.All, e poi seleziona di nuovo Esegui query .
   • Se ricevi errori Request_MultipleObjectsWithSameKeyValue: Una sovvenzione esiste già. Forse qualcuno ha aggiunto i permessi prima. Vedi il seguente aggiornamento dei permessi delegati.

Avvertimento

La consentType: "AllPrincipals" richiesta POSTgià concede il consenso amministrativo a livello di inquilino. NON selezionare "Concedi consenso amministratore" nel Interfaccia di amministrazione di Microsoft Entra dopo aver usato questa metodologia API - in questo modo cancella le autorizzazioni beta perché il Interfaccia di amministrazione di Microsoft Entra non può vedere le autorizzazioni beta e sovrascrive il consenso accordato dall'API solo con le autorizzazioni visibili.

Aggiornare i permessi delegati

Quando ricevi un Request_MultipleObjectsWithSameKeyValue errore usando i passaggi per Creare permessi delegati, usa questi passaggi per aggiornare i permessi delegati.

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'SP_OBJECT_ID_FROM_ABOVE'
   

2. Seleziona Esegui query. Copiare il id valore dalla risposta. Questo valore è YOUR_GRANT_ID.

3. Imposta il metodo Exploratore Grafici su PATCH e usa questo URL con YOUR_GRANT_ID.

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants/<YOUR_GRANT_ID>
   

   Corpo richiesto:

   {
      "scope": "AgentIdentityBlueprintPrincipal.Create AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All AgentIdentityBlueprint.AddRemoveCreds.All AgentIdentityBlueprint.DeleteRestore.All AgentInstance.ReadWrite.All AgentIdentity.Create.All AgentIdentity.DeleteRestore.All AgentRegistrations.ReadWrite.All DelegatedPermissionGrant.ReadWrite.All Directory.Read.All User.Read"
   }
   

4. Seleziona Esegui query. Si dovrebbe ottenere una 200 OK risposta con tutte e dodici le autorizzazioni nel scope campo.

Procedure consigliate per la sicurezza

Consulta queste linee guida per mantenere la registrazione della tua app sicura e conforme.

Cosa fare:

• Usa la registrazione per tenant singolo.
• Concedi solo i permessi delegati richiesti.
• Verifica regolarmente i permessi.
• Rimuovi l'app quando non è più necessaria.

Non farlo:

• Concedere le autorizzazioni per l'applicazione. Usa solo il delegato.
• Condividi pubblicamente l'ID del cliente.
• Concedi altri permessi inutili.
• Usa l'app per altri scopi.

Elementi configurati automaticamente dall'interfaccia della riga di comando

Quando si esegue a365 config init o a365 setup requirements, l'interfaccia della riga di comando convalida la registrazione dell'app e potrebbe essere necessario apportare modifiche. Prima di applicare le modifiche, l'interfaccia della riga di comando visualizza un riepilogo e chiede conferma:

WARNING: The CLI needs to make the following changes to your app registration (<app-id>):

  - Add redirect URI(s): http://localhost
  - Enable 'Allow public client flows' (isFallbackPublicClient = true)

Do you want to proceed? (y/N):

Per ignorare la richiesta di conferma , ad esempio in un ambiente CI, usare il --yes flag :

a365 config init --yes

La tabella seguente descrive ogni modifica che l'interfaccia della riga di comando può apportare:

Change	Ragione
Aggiungere l'URI di reindirizzamento http://localhost	SDK PowerShell di Microsoft Graph richiede questo URI per l'autenticazione del browser. Senza di esso, le operazioni di concessione OAuth2 ricorrono a un token che non ha le autorizzazioni delegate richieste e falliscono con 403.
Aggiungere l'URI di reindirizzamento http://localhost:8400/	MSAL richiede questo URI per l'autenticazione interattiva del browser.
Aggiungi URI di reindirizzamento ms-appx-web://Microsoft.AAD.BrokerPlugin/{id}	Obbligatorio per Web Account Manager (WAM), un broker di autenticazione del sistema operativo Windows. Altre informazioni sull'acquisizione di token associati al dispositivo.
Abilitare "Consenti flussi client pubblici"	Obbligatorio come fallback per l'autenticazione tramite codice del dispositivo in macOS, Linux, sottosistema Windows per Linux (WSL), ambienti headless e come fallback per la Politica di Accesso Condizionale in Windows.
Aggiungere autorizzazioni mancanti alla registrazione dell'app	Mantiene la registrazione dell'app sincronizzata con le nuove autorizzazioni richieste dopo un aggiornamento del CLI.
Estendere la concessione del consenso dell'amministratore	Estende la concessione di autorizzazioni OAuth2 esistente per includere tutte le nuove autorizzazioni provisioning. Richiede DelegatedPermissionGrant.ReadWrite.All che il consenso sia già stato concesso.

Se si rifiuta il prompt, la CLI non modifica la registrazione dell'app. Se sono necessarie modifiche per il funzionamento dell'interfaccia della riga di comando, è possibile configurarle manualmente in Interfaccia di amministrazione di Microsoft Entra o rieseguarle con --yes.

Passaggi successivi

Dopo aver registrato la tua app client personalizzata, usala con la CLI di Agent 365 nel ciclo di sviluppo di Agent 365:

Ciclo di vita dello sviluppo dell'Agente 365

Risoluzione dei problemi

Questa sezione descrive come risolvere errori nella registrazione personalizzata di app client.

Suggerimento

La Guida alla risoluzione dei problemi dell'Agente 365 contiene raccomandazioni di alto livello, best practice e link a contenuti di risoluzione dei problemi per ogni fase del ciclo di sviluppo dell'Agente 365.

La validazione della CLI fallisce durante la configurazione

Sintomo: L'esecuzione del comando a365 config init o a365 setup non riesce con errori di validazione riguardo all'app client personalizzata.

Soluzione: Usa questa checklist per verificare che la registrazione della tua app sia corretta:

# Run configuration to see validation messages
a365 config init

Risultato atteso: Il CLI mostra Custom client app validation successful.

Se non ottieni il risultato atteso, verifica ciascuno dei seguenti controlli:

Controllo	Come verificare	Correzione
✅ Usato l'ID corretto	Hai copiato l'ID dell'applicazione (client ) (non l'ID dell'oggetto)	Passare all'app Panoramica in Interfaccia di amministrazione di Microsoft Entra
✅ Permessi delegati	I permessi mostrano Tipo: Delegato nei permessi API	Vedi Tipo di permesso sbagliato
✅ Tutti i permessi aggiunti	Vedi tutti i permessi elencati di seguito	Segui di nuovo il Passo 4
✅ Consenso amministrativo concesso	Tutti mostrano il segno verde sotto Stato	Vedi Consenso amministrativo concesso in modo errato

Permessi delegati richiesti:

• AgentIdentityBlueprintPrincipal.Create [Beta]
• AgentIdentityBlueprint.ReadWrite.All [Beta]
• AgentIdentityBlueprint.UpdateAuthProperties.All [Beta]
• AgentIdentityBlueprint.AddRemoveCreds.All [Beta]
• AgentIdentityBlueprint.DeleteRestore.All [Beta]
• AgentInstance.ReadWrite.All [Beta]
• AgentIdentity.Create.All [Beta]
• AgentIdentity.DeleteRestore.All [Beta]
• DelegatedPermissionGrant.ReadWrite.All
• Directory.Read.All
• User.Read

Consenso amministrativo concesso in modo errato

Sintomo: La convalida ha esito negativo anche se sono state aggiunte autorizzazioni.

Causa principale: Non hai concesso il consenso dell'amministratore o lo hai fatto in modo errato.

Soluzione: Nella registrazione dell'app in Interfaccia di amministrazione di Microsoft Entra vai a autorizzazioni API e seleziona Concedi consenso amministratore per [Tenant]. Verifica che tutti i permessi mostrino segni di spunta verdi sotto Stato.

Tipo di permesso sbagliato

Sintomo: la CLI fallisce con errori di autenticazione o errori di permesso negati.

Causa principale: hai aggiunto i permessi Application invece dei permessi delegati.

Questa tabella descrive i diversi tipi di permessi.

Tipo di autorizzazione	Quando usare	Come la utilizza la CLI dell'Agente 365
Delegato ("Ambito")	L'utente si collega in modo interattivo	Agent 365 CLI usa questo - Accedi, CLI agisce per tuo conto
Applicazione ("Ruolo")	Il servizio funziona senza utente	Non usare - Solo per servizi di background/demoni

Perché delegato?

• Accedi in modo interattivo (autenticazione del browser)
• CLI esegue le azioni come te (le audit trail mostrano la tua identità)
• Più sicuro - limitato dai tuoi permessi reali
• Garantisce responsabilità e conformità

Soluzione:

1. Passare a Interfaccia di amministrazione di Microsoft Entra>Registrazioni app> L'app >Autorizzazioni API
2. Rimuovi qualsiasi permesso di applicazione. Questi permessi compaiono come Applicazione nella colonna Tipo .
3. Aggiungi gli stessi permessi dei permessi delegati .
4. Concedi nuovamente il consenso dell'amministratore.

Le autorizzazioni beta scompaiono dopo il consenso dell'amministratore nel centro di amministrazione di Microsoft Entra.

Symptom: hai usato Option B: Microsoft API Graph (For Beta Permissions) per aggiungere autorizzazioni beta, ma scompaiono dopo aver selezionato Concedi consenso amministratore nel Centro di amministrazione di Microsoft Entra.

Causa principale: Interfaccia di amministrazione di Microsoft Entra non mostra le autorizzazioni beta nell'interfaccia utente. Quando selezioni Concede il consenso dell'amministratore, il portale concede il consenso solo per i permessi visibili e sovrascrive il consenso concesso dall'API.

Motivo per cui succede:

1. Usare il API Graph (opzione B) per aggiungere tutte le undici autorizzazioni, incluse le autorizzazioni beta.
2. La chiamata API consentType: "AllPrincipals"già concede il consenso amministrativo a livello di tenant.
3. Passare a Interfaccia di amministrazione di Microsoft Entra e visualizzare solo un subset di autorizzazioni perché le autorizzazioni beta sono invisibili nel portale.
4. Seleziona Concedi il consenso amministrativo pensando che sia necessario.
5. Interfaccia di amministrazione di Microsoft Entra sovrascrive il consenso concesso all'API con only le autorizzazioni visibili.
6. Le autorizzazioni beta vengono ora eliminate.

Soluzione:

• Non usare il consenso dell'amministratore nel pannello di amministrazione Microsoft Entra dopo il metodo API: il metodo API concede già il consenso dell'amministratore.
• Se si eliminano accidentalmente le autorizzazioni beta, eseguire di nuovo Option B Passaggio 3 (Concedere il consenso amministratore usando API Graph) per ripristinarli. Se ricevi un Request_MultipleObjectsWithSameKeyValue errore, segui i passaggi per aggiornare i permessi delegati.
• Per verificare che sono elencati tutti i undici permessi, controllare il campo scope nella risposta POST o PATCH.

App non trovata durante la validazione

Sintomo: CLI riporta Application not found o Invalid client ID errori.

Soluzione:

1. Verifica di aver copiato l'ID dell'applicazione (client) in formato GUID, non l'ID dell'oggetto:

   • Passare a Interfaccia di amministrazione di Microsoft Entra>Registrazioni app> L'app >Overview
   • Copia il valore sotto l'ID Applicazione (client)
   • Il formato dovrebbe essere: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

2. Verifica che l'app esista nel tuo inquilino:

   # Sign in to the correct tenant
   az login
   
   # List your app registrations
   az ad app list --display-name "<The display name of your app>"
   

Informazioni su come registrare un'applicazione in Microsoft Entra ID.