Een Microsoft Graph-toepassing registreren

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Met Microsoft Graph kunt u veel van de resources binnen uw Azure AD B2C-tenant beheren, inclusief gebruikersaccounts van klanten en aangepast beleid. Door scripts of toepassingen te schrijven die de Microsoft Graph API aanroepen, kunt u tenantbeheertaken automatiseren, zoals:

• Een bestaand gebruikersarchief migreren naar een Azure AD B2C-tenant
• Aangepaste beleidsregels implementeren met een Azure-pijplijn in Azure DevOps en aangepaste beleidssleutels beheren
• Host gebruikersregistratie op uw eigen pagina en maak gebruikersaccounts achter de schermen in uw Azure AD B2C-directory.
• Automatiseer de registratie van applicaties
• Auditlogboeken verkrijgen

De volgende secties helpen u bij de voorbereiding op het gebruik van de Microsoft Graph-API om het beheer van resources in uw Azure AD B2C-directory te automatiseren.

Interactiemodi voor Microsoft Graph API

Er zijn twee communicatiemodi die u kunt gebruiken wanneer u met de Microsoft Graph-API werkt om resources in uw Azure AD B2C-tenant te beheren:

• Interactief : geschikt voor eenmalige taken, u gebruikt een beheerdersaccount in de B2C-tenant om de beheertaken uit te voeren. In deze modus moet een beheerder zich aanmelden met zijn referenties voordat hij de Microsoft Graph-API aanroept.

• Geautomatiseerd : voor geplande of continu uitgevoerde taken maakt deze methode gebruik van een serviceaccount dat u configureert met de machtigingen die nodig zijn om beheertaken uit te voeren. Je maakt het serviceaccount in Azure AD B2C door een toepassing te registreren, die door je toepassingen en scripts voor verificatie wordt gebruikt, met behulp van de toepassings-id (client) en de OAuth 2.0-clientreferenties. In dit geval fungeert de toepassing zelf om de Microsoft Graph-API aan te roepen, in plaats van de beheerdersgebruiker zoals in de eerder beschreven interactieve methode.

U schakelt het scenario voor geautomatiseerde interactie in door een toepassingsregistratie te maken die in de volgende secties wordt weergegeven.

Azure AD B2C-verificatieservice biedt rechtstreeks ondersteuning voor de toekenningsstroom van OAuth 2.0-clientreferenties (momenteel in openbare preview), maar u kunt deze niet gebruiken om uw Azure AD B2C-resources te beheren via Microsoft Graph API. U kunt echter de clientreferentiestroom instellen met behulp van Microsoft Entra-id en het Microsoft Identity Platform-eindpunt /token voor een toepassing in uw Azure AD B2C-tenant.

Applicatie voor registerbeheer

Voordat uw scripts en toepassingen kunnen communiceren met de Microsoft Graph-API om Azure AD B2C-resources te beheren, moet u een toepassingsregistratie maken in uw Azure AD B2C-tenant die de vereiste API-machtigingen verleent.

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Zoek en selecteer Azure AD B2C in de Azure-portal.
4. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
5. Voer een naam in voor de toepassing. Bijvoorbeeld managementapp1.
6. Selecteer alleen de accounts in dit organisatorische directory.
7. Schakel onder Machtigingen het selectievakje Beheerder toestemming verlenen voor openid- en offline_access machtigingen uit.
8. Selecteer Registreren.
9. Noteer de toepassings-id (client) die wordt weergegeven op de overzichtspagina van de toepassing. U gebruikt deze waarde in een latere stap.

API-toegang verlenen

Als u wilt dat uw toepassing toegang heeft tot gegevens in Microsoft Graph, verleent u de geregistreerde toepassing de relevante toepassingsmachtigingen. De effectieve machtigingen van uw toepassing zijn het volledige niveau van bevoegdheden die door de machtiging worden geïmpliceerd. Als u bijvoorbeeld elke gebruiker in uw Azure AD B2C-tenant wilt maken, lezen, bijwerken en verwijderen , voegt u de machtiging User.ReadWrite.All toe.

Opmerking

De machtiging User.ReadWrite.All omvat niet de mogelijkheid om wachtwoorden van gebruikersaccounts bij te werken. Als uw toepassing de wachtwoorden van gebruikersaccounts moet bijwerken, geeft u de gebruiker de rol van beheerder. Bij het toekennen van de rol van gebruikersbeheerder is de functie User.ReadWrite.All niet vereist. De rol van gebruikersbeheerder omvat alles wat nodig is om gebruikers te beheren.

U kunt uw toepassing meerdere toepassingsmachtigingen verlenen. Als uw toepassing bijvoorbeeld ook groepen moet beheren in uw Azure AD B2C-tenant, voegt u ook de machtiging Group.ReadWrite.All toe.

App-registraties

1. Selecteer onder Beheren de optie API-machtigingen.
2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.
3. Selecteer het tabblad Microsoft-API's en selecteer vervolgens Microsoft Graph.
4. Selecteer Toepassingstoestemming.
5. Vouw de juiste machtigingsgroep uit en schakel het selectievakje in van de machtiging die u aan uw beheertoepassing wilt verlenen. Bijvoorbeeld:
   • >: voor scenario's voor gebruikersmigratie of gebruikersbeheer.
   • Group Group.ReadWrite.All>: voor het maken van groepen, het lezen en bijwerken van groepslidmaatschappen en het verwijderen van groepen.
   • AuditLog>AuditLog.Read.All: voor het lezen van de auditlogboeken van de directory.
   • Policy>Policy.ReadWrite.TrustFramework: Voor CI/CD-scenario's (continue integratie/continue levering). Bijvoorbeeld aangepaste beleidsimplementatie met Azure Pipelines.
6. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.
7. Selecteer Beheerderstoestemming verlenen voor (naam van uw tenant).
8. Meld u aan met een account in uw Azure AD B2C-tenant waaraan de rol van Cloud Application Administrator is toegewezen en selecteer vervolgens Beheerderstoestemming verlenen voor (uw tenantnaam).
9. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor ...' verschijnt onder Status. Het kan enkele minuten duren voordat de machtigingen zijn doorgegeven.

[Optioneel] Gebruikersbeheerdersrol toekennen

Als uw toepassing of script de wachtwoorden van gebruikers moet bijwerken, moet u de rol van gebruikersbeheerder aan uw toepassing toewijzen. De rol Gebruikersbeheerder heeft een vaste set machtigingen die u aan uw toepassing verleent.

Ga als volgt te werk om de rol van gebruikersbeheerder toe te voegen:

1. Meld u aan bij het Azure-portaal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
3. Zoek Azure AD B2C en selecteer deze.
4. Selecteer onder Beherende optie Rollen en beheerders.
5. Selecteer de rol Gebruikersbeheerder .
6. Selecteer Opdrachten toevoegen.
7. Voer in het tekstvak Selecteren de naam of de ID in van de applicatie die u eerder hebt geregistreerd, bijvoorbeeld managementapp1. Wanneer het in de zoekresultaten verschijnt, selecteert u uw toepassing.
8. Selecteer Toevoegen. Het kan enkele minuten duren voordat de machtigingen volledig zijn verspreid.

Creëer klantgeheim

Uw applicatie heeft een clientgeheim nodig om zijn identiteit te bewijzen bij het aanvragen van een token. Ga als volgt te werk om het clientgeheim toe te voegen:

App-registraties

1. Selecteer onder Beheren de optie Certificaten en geheimen.
2. Selecteer nieuwe clientsleutel.
3. Voer een beschrijving in voor het clientgeheim in het vak Beschrijving. Bijvoorbeeld clientsecret1.
4. Selecteer onder Verloopt een duur waarvoor het geheim geldig is en selecteer vervolgens Toevoegen.
5. Noteer de waarde van het geheim. U gebruikt deze waarde voor configuratie in een latere stap.

Toepassingen (Legacy)

1. Selecteer onder API ACCESSde optie Sleutels.
2. Voer een beschrijving van de sleutel in het vak Sleutelbeschrijving in. Bijvoorbeeld clientsecret1.
3. Selecteer een geldigheidsduur en selecteer vervolgens Opslaan.
4. Noteer de WAARDE van de sleutel. U gebruikt deze waarde voor configuratie in een latere stap.

Volgende stappen

Nu u uw beheertoepassing hebt geregistreerd en deze de vereiste machtigingen hebt verleend, kunnen uw toepassingen en services (bijvoorbeeld Azure Pipelines) de referenties en machtigingen gebruiken om te communiceren met de Microsoft Graph API.

• Een toegangstoken ophalen van Microsoft Entra-id
• Het toegangstoken gebruiken om Microsoft Graph aan te roepen
• B2C-bewerkingen die worden ondersteund door Microsoft Graph
• Azure AD B2C-gebruikersaccounts beheren met Microsoft Graph
• Auditlogboeken ophalen met de Microsoft Entra-rapportage-API