Registrazione personalizzata dell'app client per la CLI dell'Agente 365

L'interfaccia della riga di comando di Agent 365 richiede una registrazione dell'applicazione client personalizzata nel tenant di Microsoft Entra ID per autenticare e gestire i modelli di identità dell'agente.

Questo articolo suddivide il processo in quattro fasi principali:

1. Domanda di registrazione
2. Imposta l'URI di Redirect
3. Copia ID applicazione (client)
4. Configurare le autorizzazioni APIRichiede privilegi di amministratore

Se hai problemi, consulta la sezione Risoluzione dei problemi .

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a Interfaccia di amministrazione di Microsoft Entra e, se necessario, uno dei ruoli di amministratore necessari per concedere il consenso.

Per registrare l'app

Per impostazione predefinita, qualsiasi utente nel tenant può registrare applicazioni nel centro di amministrazione Microsoft Entra. Tuttavia , gli amministratori dei tenant possono limitare questa capacità. Se non puoi registrare la tua app, contatta il tuo amministratore.

Aggiungere permessi e concedere il consenso

Ti serve uno di questi ruoli amministrativi per 4. Configura i permessi dell'API.

• Amministratore dell'Applicazione: Consigliato - può gestire le registrazioni delle applicazioni e concedere il consenso
• Amministratore delle applicazioni cloud: può gestire le registrazioni delle app e concedere il consenso
• Amministratore Globale: Ha tutti i permessi, ma non è obbligatorio

Suggerimento

Non hai accesso da amministratore? Puoi completare tu stesso i passaggi 1-3, poi chiedere al tuo amministratore inquilino di completare il passaggio 4. Fornisci loro il tuo ID Applicazione (client) dallo step 3 e un link alla sezione Configura le autorizzazioni API.

Suggerimento

Gli amministratori globali possono ignorare la registrazione manuale. Esegui a365 setup requirements e, se l'app Agent 365 CLI non viene trovata nel tenant, la CLI richiederà di crearla e concedere automaticamente il consenso amministrativo. Digitare C al prompt per creare l'app in un singolo passaggio. Se si usa questo percorso automatizzato, è possibile ignorare i passaggi descritti in questa sezione.

1. Registrazione della domanda

Queste istruzioni riassumono tutte le istruzioni per creare una registrazione dell'app.

1. Passare a Interfaccia di amministrazione di Microsoft Entra

2. Selezionare Registrazioni app

3. Seleziona Nuova registrazione

4. Immettere:

   • Nome: inserisci un nome significativo per la tua app, come my-agent-app. Gli utenti dell'app visualizzano questo nome e possono essere modificati in qualsiasi momento. È possibile avere più registrazioni dell'app con lo stesso nome.

     Suggerimento

     Per utilizzare il flusso senza configurazione a365 setup all --agent-name, assegna il nome Agent 365 CLI esattamente all'app. Il CLI identifica automaticamente l'app client tramite il noto nome visualizzato, pertanto non è necessario inserire manualmente l'ID client in un file di configurazione.

   • Tipi di account supportati: Solo account in questa directory organizzativa (Tenant singolo)

   • Reindirizza URI: seleziona Public client/native (mobile e desktop) e entra http://localhost:8400/

5. Selezionare Registra

L'interfaccia della riga di comando richiede tre URI di reindirizzamento in totale. L'interfaccia della riga di comando aggiunge automaticamente eventuali elementi mancanti durante l'esecuzione di a365 setup requirements.

URI	Scopo
http://localhost:8400/	Autenticazione interattiva del browser Libreria di Autenticazione Microsoft (MSAL)
http://localhost	SDK PowerShell di Microsoft Graph Connect-MgGraph
ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}	Utilizzo di Gestione account Web (WAM)

Per informazioni dettagliate, vedere Che cos'è la configurazione automatica dell'interfaccia della riga di comando .

2. Imposta l'URI di reindirizzamento

1. Vai su Panoramica e copia il valore ID dell'applicazione (client ).
2. Vai su Autenticazione (anteprima) e seleziona Aggiungi URI di reindirizzamento.
3. Seleziona applicazioni mobili e desktop e imposta il valore su ms-appx-web://Microsoft.AAD.BrokerPlugin/{client-id}, dove {client-id} è il valore dell'applicazione (client ID) che hai copiato.
4. Seleziona Configura per aggiungere il valore.

3. Copia dell'ID Applicazione (client)

Dalla pagina Panoramica dell'app, copia l'ID dell'applicazione (client) in formato GUID. Questo valore viene usato quando si esegue a365 setup all o quando si crea a365.config.jsonmanualmente .

Suggerimento

Non confondere questo valore con l'ID oggetto: è necessario l'ID applicazione (client).

Se l'app Agent 365 CLI è stata denominata nel passaggio 1, è possibile ignorare questo passaggio quando si usa a365 setup all --agent-name. L'interfaccia della riga di comando risolve automaticamente l'ID client in base al nome visualizzato.

4. Configurare i permessi API

Importante

Per questo passaggio servono i privilegi da amministratore. Se sei uno sviluppatore senza accesso amministrativo, invia il tuo ID dell'applicazione (client) dal Passaggio 3 al tuo amministratore del tenant e chiedi loro di completare questo passaggio.

Annotazioni

A partire da dicembre 2025, le autorizzazioni AgentIdentityBlueprint.*, AgentInstance.* e AgentIdentity.* sono API beta e potrebbero non essere visibili nel Interfaccia di amministrazione di Microsoft Entra. Se questi permessi diventano generalmente disponibili nel tuo tenant, puoi usare l'Opzione A per tutti i permessi.

Scegli il metodo appropriato:

• Option A: usare Interfaccia di amministrazione di Microsoft Entra per tutte le autorizzazioni (se le autorizzazioni beta sono visibili)
• Option B: usare Microsoft API Graph per aggiungere tutte le autorizzazioni (consigliate se le autorizzazioni beta non sono visibili)

Opzione A: Interfaccia di amministrazione di Microsoft Entra (metodo Standard)

Usare questo metodo se è possibile visualizzare le autorizzazioni beta nel tenant.

1. Nella registrazione dell'app passare a Autorizzazioni API.

2. Selezionare Aggiungi un'autorizzazione>Microsoft Graph> Autorizzazionidelegate.

   Importante

   È necessario usare autorizzazioni delegate (non autorizzazioni dell'applicazione). La CLI si autentica in modo interattivo: accedi e agisce per tuo conto. Per altre informazioni, vedere Tipo di autorizzazione errato.

3. Aggiungere queste tredici autorizzazioni una alla volta.

   Autorizzazione	Scopo
   AgentIdentityBlueprintPrincipal.Create	Creare il principal servizio di Agent Blueprint (API beta)
   AgentIdentityBlueprint.ReadWrite.All	Gestire le configurazioni di Agent Blueprint (API beta)
   AgentIdentityBlueprint.UpdateAuthProperties.All	Aggiorna i permessi ereditari di Agent Blueprint (beta API)
   AgentIdentityBlueprint.AddRemoveCreds.All	Aggiungere o rimuovere segreti dei client e credenziali di identità federata nei blueprints (API beta)
   AgentIdentityBlueprint.DeleteRestore.All	Eliminare le applicazioni di Agent Blueprint durante la pulizia (API beta)
   AgentInstance.ReadWrite.All	Registrare e gestire le istanze dell'agente tramite l'API del Registro di sistema dell'agente (API beta)
   AgentIdentity.Create.All	Creare identità agente da progetti (API beta)
   AgentIdentity.DeleteRestore.All	Eliminare i principali di servizio dell'identità dell'agente durante la pulizia (API beta)
   AgentIdentity.Read.All	Leggere i dati di identità dell'agente (API beta)
   AgentRegistration.ReadWrite.All	Leggere e scrivere tutte le registrazioni dell'agente
   DelegatedPermissionGrant.ReadWrite.All	Concedere permessi per i progetti degli agenti
   Directory.Read.All	Leggi i dati della directory per la validazione
   User.Read	Leggere il profilo dell'utente connesso per l'assegnazione del proprietario del blueprint.

   Annotazioni

   AgentRegistration.ReadWrite.All è obbligatorio per l'installazione dell'agente. L'interfaccia della riga di comando acquisisce questa autorizzazione silenziosamente tramite .default e il validator dell'interfaccia della riga di comando di Agent 365 non la verifica in modo esplicito, ma deve essere presente nella registrazione della tua app e deve avere il consenso dell'amministratore concesso.

   Per ogni permesso:

   • Nella casella di ricerca, digita il nome del permesso (ad esempio, AgentIdentityBlueprint.ReadWrite.All).
   • Seleziona la casella accanto al permesso.
   • Seleziona Aggiungi autorizzazioni.
   • Ripetere per tutte e tredici le autorizzazioni.

4. Seleziona Concede il consenso amministrativo per [Il tuo inquilino].

   • Perché è necessario? I progetti di identità agente sono risorse a livello di tenant a cui possono fare riferimento più utenti e applicazioni. Senza il consenso di tutto il tenant, la CLI fallisce durante l'autenticazione.
   • E se fallisce? Serve un ruolo da Amministratore delle Applicazioni, Amministratore delle Applicazioni Cloud o Amministratore Globale. Chiedi aiuto all'amministratore del tuo inquilino.

5. Verifica che tutti i permessi mostrino segni di spunta verdi sotto Stato.

Se le autorizzazioni beta (AgentIdentityBlueprint.*) non sono visibili, passare all'opzione B.

Opzione B: Microsoft API Graph (per le autorizzazioni beta)

Usare questo metodo se Interfaccia di amministrazione di Microsoft Entra non visualizza le autorizzazioni AgentIdentityBlueprint.*.

Avvertimento

Se si usa questo metodo API, non usare il pulsante "Concedi consenso amministratore" dell'interfaccia di amministrazione di Microsoft Entra successivamente. Il metodo API concede automaticamente il consenso amministratore e usando il pulsante Interfaccia di amministrazione di Microsoft Entra elimina le autorizzazioni beta. Per maggiori informazioni, vedi Permessi Beta scomparire.

1. Apri Esploratore Grafico.

2. Accedi con il tuo account amministratore (Amministratore delle applicazioni o Amministratore delle applicazioni cloud).

3. Concedere il consenso dell'amministratore usando API Graph. Per completare questo passaggio, è necessario:

   • ID del servizio principale. Ti serve un SP_OBJECT_ID valore variabile.
   • ID risorsa del grafico. Ti serve un GRAPH_RESOURCE_ID valore variabile.
   • Crea (o aggiorna) i permessi delegati utilizzando il tipo di risorsa oAuth2PermissionGrant con i SP_OBJECT_ID valori variabili e GRAPH_RESOURCE_ID .

Utilizza le informazioni nelle sezioni seguenti per completare questi passaggi.

Ottieni il tuo ID di committente di servizio

Un service principal è l'identità della tua app nel tuo tenant. Ti serve prima di poter concedere i permessi tramite l'API.

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL. Sostituisci <YOUR_CLIENT_APP_ID> con il tuo ID client dell'applicazione effettivo dal Passo 3: Copia l'ID client dell'applicazione:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '<YOUR_CLIENT_APP_ID>'&$select=id
   

2. Seleziona Esegui query.

   • Se la query ha successo, il valore restituito è il tuo SP_OBJECT_ID.

   • Se la query fallisce con un errore di permessi, seleziona la scheda Modifica permessi , acconsenti ai permessi richiesti, poi seleziona di nuovo Esegui consulta . Il valore restituito è il tuo SP_OBJECT_ID.

   • Se la query restituisce risultati vuoti ("value": []), crea il principale del servizio utilizzando i seguenti passaggi:

     1. Imposta il metodo su POST e usa questo URL:

        https://graph.microsoft.com/v1.0/servicePrincipals
        

        Corpo della richiesta (sostituisci YOUR_CLIENT_APP_ID con il vero ID client della tua applicazione):

        {
           "appId": "YOUR_CLIENT_APP_ID"
        }
        

     2. Seleziona Esegui query. Dovresti ricevere una 201 Created risposta. Il id valore restituito è il tuo SP_OBJECT_ID.

Ottieni il tuo ID di risorsa Graph

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL:

   https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '00000003-0000-0000-c000-000000000000'&$select=id
   

2. Seleziona Esegui query.

   • Se la query ha esito positivo, copia il valore id. Questo valore è il tuo GRAPH_RESOURCE_ID.
   • Se la query fallisce con un errore di permessi, seleziona la scheda Modifica permessi , acconsenti ai permessi richiesti, poi seleziona di nuovo Esegui consulta . Copiare il valore id. Questo valore è il tuo GRAPH_RESOURCE_ID.

Crea permessi delegati

Questa chiamata API concede il consenso amministratore a livello di tenant per tutte e tredici le autorizzazioni, incluse le autorizzazioni beta non visibili in Interfaccia di amministrazione di Microsoft Entra.

1. Imposta il metodo Esplora Grafici su POST e usa questo URL e il corpo della richiesta:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   

   Corpo richiesto:

   {
   "clientId": "<SP_OBJECT_ID>",
   "consentType": "AllPrincipals",
   "principalId": null,
   "resourceId": "<GRAPH_RESOURCE_ID>",
   "scope": "AgentIdentityBlueprintPrincipal.Create AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All AgentIdentityBlueprint.AddRemoveCreds.All AgentIdentityBlueprint.DeleteRestore.All AgentInstance.ReadWrite.All AgentIdentity.Create.All AgentIdentity.DeleteRestore.All AgentIdentity.Read.All AgentRegistration.ReadWrite.All DelegatedPermissionGrant.ReadWrite.All Directory.Read.All User.Read"
   }
   

2. Seleziona Esegui query.

   • Se ricevi 201 Created risposta: Successo! Il scope campo nella risposta mostra tutti e tredici i nomi delle autorizzazioni. Hai finito.
   • Se la query fallisce con un errore di permessi (probabile DelegatedPermissionGrant.ReadWrite.All), seleziona la scheda Modifica permessi , acconsenti a DelegatedPermissionGrant.ReadWrite.All, e poi seleziona di nuovo Esegui query .
   • Se ricevi errori Request_MultipleObjectsWithSameKeyValue: Una sovvenzione esiste già. Forse qualcuno ha aggiunto i permessi prima. Vedi il seguente aggiornamento dei permessi delegati.

Avvertimento

La consentType: "AllPrincipals" richiesta POSTgià concede il consenso amministrativo a livello di inquilino. NON selezionare "Concedi consenso amministratore" nel centro di amministrazione di Microsoft Entra dopo aver utilizzato questo metodo API: farlo elimina le autorizzazioni beta, poiché il centro di amministrazione di Microsoft Entra non può vedere le autorizzazioni beta e sovrascrive il consenso concesso dall'API solo con le autorizzazioni visibili.

Aggiornare i permessi delegati

Quando ricevi un Request_MultipleObjectsWithSameKeyValue errore usando i passaggi per Creare permessi delegati, usa questi passaggi per aggiornare i permessi delegati.

1. Imposta il metodo Esploratore Grafici su GET e usa questo URL:

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'SP_OBJECT_ID_FROM_ABOVE'
   

2. Seleziona Esegui query. Copiare il valore id della risposta. Questo valore è YOUR_GRANT_ID.

3. Imposta il metodo Exploratore Grafici su PATCH e usa questo URL con YOUR_GRANT_ID.

   https://graph.microsoft.com/v1.0/oauth2PermissionGrants/<YOUR_GRANT_ID>
   

   Corpo richiesto:

   {
      "scope": "AgentIdentityBlueprintPrincipal.Create AgentIdentityBlueprint.ReadWrite.All AgentIdentityBlueprint.UpdateAuthProperties.All AgentIdentityBlueprint.AddRemoveCreds.All AgentIdentityBlueprint.DeleteRestore.All AgentInstance.ReadWrite.All AgentIdentity.Create.All AgentIdentity.DeleteRestore.All AgentIdentity.Read.All AgentRegistration.ReadWrite.All DelegatedPermissionGrant.ReadWrite.All Directory.Read.All User.Read"
   }
   

4. Seleziona Esegui query. Si dovrebbe ottenere una risposta 200 OK con tutte e tredici le autorizzazioni nel campo scope.

Procedure consigliate per la sicurezza

Consulta queste linee guida per mantenere la registrazione della tua app sicura e conforme.

Cosa fare:

• Usa la registrazione per tenant singolo.
• Concedi solo i permessi delegati richiesti.
• Verifica regolarmente i permessi.
• Rimuovi l'app quando non è più necessaria.

Non farlo:

• Concedere le autorizzazioni per l'applicazione. Usa solo il delegato.
• Condividi pubblicamente l'ID del cliente.
• Concedi altri permessi inutili.
• Usa l'app per altri scopi.

Elementi configurati automaticamente dall'interfaccia della riga di comando

Quando si esegue a365 setup requirements, l'interfaccia della riga di comando convalida la registrazione dell'app e potrebbe dover apportare modifiche. Prima di applicare le modifiche, l'interfaccia della riga di comando visualizza un riepilogo e chiede conferma:

WARNING: The CLI needs to make the following changes to your app registration (<app-id>):

  - Add redirect URI(s): http://localhost
  - Enable 'Allow public client flows' (isFallbackPublicClient = true)

Do you want to proceed? (y/N):

Per ignorare la richiesta di conferma , ad esempio in un ambiente CI, usare il --yes flag :

a365 setup requirements --yes

La tabella seguente descrive ogni modifica che l'interfaccia della riga di comando può apportare:

Cambia	Motivo
Aggiungere l'URI di reindirizzamento http://localhost	SDK PowerShell di Microsoft Graph richiede questo URI per l'autenticazione del browser. Senza di esso, le operazioni di concessione OAuth2 ricorrono a un token che non ha le autorizzazioni delegate richieste e falliscono con 403.
Aggiungere l'URI di reindirizzamento http://localhost:8400/	MSAL richiede questo URI per l'autenticazione interattiva del browser.
Aggiungere l'URI di reindirizzamento ms-appx-web://Microsoft.AAD.BrokerPlugin/{id}	Obbligatorio per Web Account Manager (WAM), un broker di autenticazione del sistema operativo Windows. Altre informazioni sull'acquisizione di token associati al dispositivo.
Abilitare "Consenti flussi client pubblici"	Obbligatorio come fallback per l'autenticazione tramite codice del dispositivo in macOS, Linux, sottosistema Windows per Linux (WSL), ambienti headless e come fallback per la Politica di Accesso Condizionale in Windows.
Aggiungere autorizzazioni mancanti alla registrazione dell'app	Mantiene la registrazione dell'app sincronizzata con le nuove autorizzazioni richieste dopo un aggiornamento del CLI.
Estendere la concessione del consenso dell'amministratore	Estende la concessione di autorizzazioni OAuth2 esistente per includere tutte le nuove autorizzazioni provisioning. Richiede DelegatedPermissionGrant.ReadWrite.All che il consenso sia già stato concesso.

Se si rifiuta il prompt, la CLI non modifica la registrazione dell'app. Se sono necessarie modifiche per il funzionamento dell'interfaccia della riga di comando, è possibile configurarle manualmente in Interfaccia di amministrazione di Microsoft Entra o rieseguarle con --yes.

Passaggi successivi

Dopo aver registrato l'app client personalizzata, usarla con l'interfaccia della riga di comando di Agent 365 per completare l'installazione di Agent 365:

Introduzione allo sviluppo di Agent 365

Risoluzione dei problemi

Questa sezione descrive come risolvere errori nella registrazione personalizzata di app client.

Suggerimento

La Guida alla risoluzione dei problemi dell'Agente 365 contiene raccomandazioni di alto livello, best practice e link a contenuti di risoluzione dei problemi per ogni fase del ciclo di sviluppo dell'Agente 365.

La validazione della CLI fallisce durante la configurazione

Sintomo: L'esecuzione di a365 setup o a365 setup requirements non riesce con errori di convalida relativi all'app client personalizzata.

Soluzione: Usa questa checklist per verificare che la registrazione della tua app sia corretta:

# Run requirements validation to see validation messages
a365 setup requirements

Risultato atteso: Il CLI mostra Custom client app validation successful.

Se non ottieni il risultato atteso, verifica ciascuno dei seguenti controlli:

Seleziona	Come verificare	Correggi
✅ Usato l'ID corretto	Hai copiato l'ID dell'applicazione (client ) (non l'ID dell'oggetto)	Passare all'applicazione Panoramica nel centro di amministrazione di Microsoft Entra
✅ Permessi delegati	I permessi mostrano Tipo: Delegato nei permessi API	Vedi Tipo di permesso sbagliato
✅ Tutti i permessi aggiunti	Vedi tutti i permessi elencati di seguito	Segui di nuovo il Passo 4
✅ Consenso amministrativo concesso	Tutti mostrano il segno verde sotto Stato	Vedi Consenso amministrativo concesso in modo errato

Permessi delegati richiesti:

• AgentIdentityBlueprintPrincipal.Create [Beta]
• AgentIdentityBlueprint.ReadWrite.All [Beta]
• AgentIdentityBlueprint.UpdateAuthProperties.All [Beta]
• AgentIdentityBlueprint.AddRemoveCreds.All [Beta]
• AgentIdentityBlueprint.DeleteRestore.All [Beta]
• AgentInstance.ReadWrite.All [Beta]
• AgentIdentity.Create.All [Beta]
• AgentIdentity.DeleteRestore.All [Beta]
• AgentIdentity.Read.All [Beta]
• AgentRegistration.ReadWrite.All
• DelegatedPermissionGrant.ReadWrite.All
• Directory.Read.All
• User.Read

Consenso amministrativo concesso in modo errato

Sintomo: La convalida ha esito negativo anche se sono state aggiunte autorizzazioni.

Causa principale: Non hai concesso il consenso dell'amministratore o lo hai fatto in modo errato.

Soluzione: Nella registrazione dell'app in Interfaccia di amministrazione di Microsoft Entra vai a autorizzazioni API e seleziona Concedi consenso amministratore per [Tenant]. Verifica che tutti i permessi mostrino segni di spunta verdi sotto Stato.

Tipo di permesso sbagliato

Sintomo: la CLI fallisce con errori di autenticazione o errori di permesso negati.

Causa principale: hai aggiunto i permessi Application invece dei permessi delegati.

Questa tabella descrive i diversi tipi di permessi.

Tipo di autorizzazione	Quando usare	Come la utilizza la CLI dell'Agente 365
Delegato ("Ambito")	L'utente si collega in modo interattivo	Agent 365 CLI usa questo - Accedi, CLI agisce per tuo conto
Applicazione ("Ruolo")	Il servizio funziona senza utente	Non usare - Solo per servizi di background/demoni

Perché delegato?

• Accedi in modo interattivo (autenticazione del browser)
• CLI esegue le azioni come te (le audit trail mostrano la tua identità)
• Più sicuro - limitato dai tuoi permessi reali
• Garantisce responsabilità e conformità

Soluzione:

1. Passare a Interfaccia di amministrazione di Microsoft Entra>Registrazioni app> L'app >Autorizzazioni API
2. Rimuovi qualsiasi permesso di applicazione. Questi permessi compaiono come Applicazione nella colonna Tipo .
3. Aggiungi gli stessi permessi dei permessi delegati .
4. Concedi nuovamente il consenso dell'amministratore.

Le autorizzazioni beta scompaiono dopo il consenso dell'amministratore nel portale di amministrazione di Microsoft Entra.

Symptom: hai usato Option B: Microsoft API Graph (For Beta Permissions) per aggiungere autorizzazioni beta, ma scompaiono dopo aver selezionato Concedi consenso amministratore nel centro di amministrazione di Microsoft Entra.

Causa principale: Interfaccia di amministrazione di Microsoft Entra non mostra le autorizzazioni beta nell'interfaccia utente. Quando selezioni Concede il consenso dell'amministratore, il portale concede il consenso solo per i permessi visibili e sovrascrive il consenso concesso dall'API.

Motivo per cui succede:

1. Usare il API Graph (opzione B) per aggiungere tutte e tredici le autorizzazioni, incluse le autorizzazioni beta.
2. La chiamata API consentType: "AllPrincipals"già concede il consenso amministrativo a livello di tenant.
3. Passare a Interfaccia di amministrazione di Microsoft Entra e visualizzare solo un subset di autorizzazioni perché le autorizzazioni beta sono invisibili nel portale.
4. Seleziona Concedi il consenso amministrativo pensando che sia necessario.
5. Interfaccia di amministrazione di Microsoft Entra sovrascrive il consenso concesso all'API con only le autorizzazioni visibili.
6. Le autorizzazioni beta vengono ora eliminate.

Soluzione:

• Non usare il consenso dell'amministratore nel pannello di amministrazione Microsoft Entra dopo il metodo API: il metodo API concede già il consenso dell'amministratore.
• Se si eliminano accidentalmente le autorizzazioni beta, eseguire di nuovo Option B Passaggio 3 (Concedere il consenso amministratore usando API Graph) per ripristinarli. Se ricevi un Request_MultipleObjectsWithSameKeyValue errore, segui i passaggi per aggiornare i permessi delegati.
• Per verificare che siano elencate tutte e tredici le autorizzazioni, controllare il campo scope nella risposta POST o PATCH.

App non trovata durante la validazione

Sintomo: CLI riporta Application not found o Invalid client ID errori.

Soluzione:

1. Verifica di aver copiato l'ID dell'applicazione (client) in formato GUID, non l'ID dell'oggetto:

   • Vai all'interfaccia di amministrazione Microsoft Entra>Registrazioni dell'app> La tua app >Panoramica
   • Copia il valore sotto l'ID Applicazione (client)
   • Il formato dovrebbe essere: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

2. Verifica che l'app esista nel tuo inquilino:

   # Sign in to the correct tenant
   az login
   
   # List your app registrations
   az ad app list --display-name "<The display name of your app>"
   

Informazioni su come registrare un'applicazione in Microsoft Entra ID.