Registrare un'applicazione Microsoft Graph

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Microsoft Graph consente di gestire molte delle risorse all'interno del tenant di Azure AD B2C, inclusi gli account utente dei clienti e i criteri personalizzati. Scrivendo script o applicazioni che chiamano l'API Microsoft Graph, è possibile automatizzare le attività di gestione dei tenant, ad esempio:

• Eseguire la migrazione di un archivio utenti esistente a un tenant di Azure AD B2C
• Distribuire criteri personalizzati con una pipeline di Azure in Azure DevOps e gestire chiavi di criteri personalizzate
• Gestire la registrazione degli utenti sulla tua pagina e creare account utente nella directory di Azure AD B2C dietro le quinte.
• Automatizzare la registrazione dell'applicazione
• Ottenere i log di controllo

Le sezioni seguenti illustrano come prepararsi all'uso dell'API Microsoft Graph per automatizzare la gestione delle risorse nella directory di Azure AD B2C.

Modalità di interazione dell'API Microsoft Graph

Esistono due modalità di comunicazione che è possibile usare quando si usa l'API Microsoft Graph per gestire le risorse nel tenant di Azure AD B2C:

• Interattivo : appropriato per le attività di esecuzione una sola volta, si usa un account amministratore nel tenant B2C per eseguire le attività di gestione. Questa modalità richiede a un amministratore di accedere usando le credenziali prima di chiamare l'API Microsoft Graph.

• Automatizzato : per le attività pianificate o in esecuzione continua, questo metodo usa un account del servizio configurato con le autorizzazioni necessarie per eseguire le attività di gestione. Per creare il "service account" in Azure AD B2C, devi registrare un'applicazione che le tue applicazioni e i tuoi script utilizzano per l'autenticazione, usando l'ID applicazione (client) e il grant delle credenziali client OAuth 2.0. In questo caso, l'applicazione agisce come se stessa per chiamare l'API Microsoft Graph, non l'utente amministratore come nel metodo interattivo descritto in precedenza.

Per abilitare lo scenario di interazione automatica , creare una registrazione dell'applicazione illustrata nelle sezioni seguenti.

Il servizio di autenticazione B2C di Azure AD supporta direttamente il flusso di concessione delle credenziali client OAuth 2.0 (attualmente in anteprima pubblica), ma non è possibile usarlo per gestire le risorse di Azure AD B2C tramite l'API Microsoft Graph. Tuttavia, è possibile configurare il flusso di credenziali client usando l'ID Microsoft Entra e l'endpoint di Microsoft Identity Platform /token per un'applicazione nel tenant di Azure AD B2C.

Registrare l'applicazione di gestione

Prima che gli script e le applicazioni possano interagire con l'API Microsoft Graph per gestire le risorse di Azure AD B2C, è necessario creare una registrazione dell'applicazione nel tenant di Azure AD B2C che concede le autorizzazioni API necessarie.

1. Accedi al portale di Azure.
2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
3. Nel portale di Azure cercare e selezionare Azure AD B2C.
4. Selezionare l'opzione Registrazioni appe quindi selezionare Nuova registrazione.
5. Immettere un nome per l'applicazione. Ad esempio, managementapp1.
6. Seleziona solo gli Account in questa directory organizzativa.
7. In Autorizzazioni, deselezionare la casella di controllo Concedi consenso amministratore alle autorizzazioni openid e offline_access.
8. Selezionare Registrazione.
9. Registrare l'ID applicazione (client) visualizzato nella pagina di panoramica dell'applicazione. Questo valore verrà usato in un passaggio successivo.

Concedere l'accesso all'API

Per consentire all'applicazione di accedere ai dati in Microsoft Graph, concedere all'applicazione registrata le autorizzazioni dell'applicazione pertinenti. Le autorizzazioni efficaci dell'applicazione corrispondono al livello completo di privilegi impliciti nell'autorizzazione. Ad esempio, per creare, leggere, aggiornare ed eliminare ogni utente nel tenant di Azure AD B2C, aggiungere l'autorizzazione User.ReadWrite.All .

Annotazioni

L'autorizzazione User.ReadWrite.All non include la possibilità di aggiornare le password dell'account utente. Se l'applicazione deve aggiornare le password dell'account utente, concedere il ruolo di amministratore utente. Quando si concede il ruolo di amministratore utente , user.ReadWrite.All non è necessario. Il ruolo di amministratore utenti include tutti gli elementi necessari per gestire gli utenti.

È possibile concedere all'applicazione più autorizzazioni. Ad esempio, se l'applicazione deve gestire anche i gruppi nel tenant di Azure AD B2C, aggiungere anche l'autorizzazione Group.ReadWrite.All .

Registrazioni app

1. In Gestisci selezionare Autorizzazioni API.
2. In Autorizzazioni configurate selezionare Aggiungi un'autorizzazione.
3. Selezionare la scheda API Microsoft, quindi selezionare Microsoft Graph.
4. Seleziona Autorizzazioni applicazione.
5. Espandere il gruppo di autorizzazioni appropriato e selezionare la casella di controllo dell'autorizzazione da concedere all'applicazione di gestione. Per esempio:
   • Utente>User.ReadWrite.All: per scenari di migrazione utente o gestione utenti.
   • Gruppo>Group.ReadWrite.All: per creare gruppi, leggere e aggiornare le appartenenze ai gruppi ed eliminare gruppi.
   • Log di audit>AuditLog.Read.All: per la lettura dei log di audit della directory.
   • Policy>Policy.ReadWrite.TrustFramework: per scenari di integrazione continua/recapito continuo (CI/CD). Ad esempio, distribuzione di criteri personalizzati con Azure Pipelines.
6. Selezionare Aggiungi autorizzazioni. Come indicato, attendere alcuni minuti prima di procedere con il passaggio successivo.
7. Selezionare Concedi consenso amministratore per (nome del tenant).
8. Accedere con un account nel tenant di Azure AD B2C a cui è assegnato il ruolo Amministratore applicazione cloud, quindi selezionare Concedi il consenso amministratore per (nome del tenant).
9. Selezionare Aggiorna, quindi verificare che "autorizzato per ..." appaia in Stato. La propagazione delle autorizzazioni potrebbe richiedere alcuni minuti.

[Facoltativo] Concedere il ruolo di amministratore utente

Se l'applicazione o lo script deve aggiornare le password degli utenti, è necessario assegnare il ruolo di amministratore utente all'applicazione. Il ruolo Amministratore utenti ha un set fisso di autorizzazioni concesse all'applicazione.

Per aggiungere il ruolo Amministratore utenti , seguire questa procedura:

1. Accedi al portale di Azure.
2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
3. Cerca e seleziona Azure AD B2C.
4. In Gestisci selezionare Ruoli e amministratori.
5. Selezionare il ruolo Amministratore utenti .
6. Selezionare Aggiungi assegnazioni.
7. Nella casella di testo Seleziona immettere il nome o l'ID dell'applicazione registrata in precedenza, ad esempio managementapp1. Quando viene visualizzato nei risultati della ricerca, selezionare l'applicazione.
8. Seleziona Aggiungi. La propagazione completa delle autorizzazioni potrebbe richiedere alcuni minuti.

Creare il segreto del client

L'applicazione necessita di un segreto client per dimostrare la propria identità quando si richiede un token. Per aggiungere il segreto client, seguire questa procedura:

Registrazioni dell'app

1. In Gestisci, selezionare Certificati e segreti.
2. Selezionare Nuova chiave segreta del client.
3. Immettere una descrizione per il segreto client nella casella Descrizione. Ad esempio, clientsecret1.
4. In Scadenzaselezionare una durata per la quale il segreto è valido, quindi selezionare Aggiungi.
5. Registrare il valore del segreto. Questo valore viene usato per la configurazione in un passaggio successivo.

Applicazioni (legacy)

1. In ACCESSO ALL'API selezionare Chiavi.
2. Immettere una descrizione per la chiave nella casella Descrizione chiave . Ad esempio, clientsecret1.
3. Selezionare una durata di validità e quindi selezionare Salva.
4. Registrare il valore della chiave. Questo valore viene usato per la configurazione in un passaggio successivo.

Passaggi successivi

Dopo aver registrato l'applicazione di gestione e aver concesso le autorizzazioni necessarie, le applicazioni e i servizi ,ad esempio Azure Pipelines, possono usare le credenziali e le autorizzazioni per interagire con l'API Microsoft Graph.

• Ottenere un token di accesso da Microsoft Entra ID
• Usare il token di accesso per chiamare Microsoft Graph
• Operazioni B2C supportate da Microsoft Graph
• Gestire gli account utente di Azure AD B2C con Microsoft Graph
• Ottenere i log di controllo con l'API di reporting di Microsoft Entra