Udzielanie zgody administratora całej dzierżawy dla aplikacji

  • Artykuł

Z tego artykułu dowiesz się, jak udzielić zgody administratora dla całej dzierżawy na aplikację w usłudze Microsoft Entra ID. Aby dowiedzieć się, jak skonfigurować ustawienia zgody poszczególnych użytkowników, zobacz Konfigurowanie sposobu wyrażania zgody przez użytkowników końcowych na aplikacje.

Po udzieleniu zgody administratora dla całej dzierżawy na aplikację udzielasz aplikacji dostępu do uprawnień żądanych w imieniu całej organizacji. Udzielanie zgody administratora w imieniu organizacji jest operacją wrażliwą, co potencjalnie umożliwia wydawcy aplikacji dostęp do znaczących części danych organizacji lub uprawnienia do wykonywania wysoce uprzywilejowanych operacji. Przykładami takich operacji może być zarządzanie rolami, pełny dostęp do wszystkich skrzynek pocztowych lub wszystkich witryn oraz personifikacja pełnego użytkownika. W związku z tym należy dokładnie przejrzeć uprawnienia, których aplikacja żąda przed udzieleniem zgody.

Domyślnie udzielenie zgody administratora dla całej dzierżawy na aplikację umożliwia wszystkim użytkownikom dostęp do aplikacji, chyba że w przeciwnym razie jest to ograniczone. Aby ograniczyć użytkowników, którzy mogą logować się do aplikacji, skonfiguruj aplikację tak, aby wymagała przypisania użytkownika, a następnie przypisz użytkowników lub grupy do aplikacji.

Ważne

Udzielenie zgody administratora dla całej dzierżawy może odwołać uprawnienia, które zostały już przyznane dla całej dzierżawy dla tej aplikacji. Uprawnienia, które użytkownicy otrzymali już w swoim imieniu, nie mają wpływu.

Wymagania wstępne

Udzielenie zgody administratora dla całej dzierżawy wymaga zalogowania się jako użytkownik, który jest autoryzowany do udzielania zgody w imieniu organizacji.

Aby udzielić zgody administratora dla całej dzierżawy, potrzebne są następujące elementy:

  • Konto użytkownika Microsoft Entra z jedną z następujących ról:

    • Administrator globalny lub Administrator ról uprzywilejowanych w celu udzielenia zgody dla aplikacji żądających dowolnych uprawnień dla dowolnego interfejsu API.
    • Usługa Cloud Application Administracja istrator lub Administracja istrator aplikacji w celu udzielenia zgody dla aplikacji żądających jakichkolwiek uprawnień dla dowolnego interfejsu API, z wyjątkiem ról aplikacji programu Microsoft Graph (uprawnień aplikacji).
    • Rola katalogu niestandardowego obejmująca uprawnienia do udzielania uprawnień aplikacjom dla uprawnień wymaganych przez aplikację.

Możesz udzielić zgody administratora dla całej dzierżawy za pośrednictwem okienka Aplikacje dla przedsiębiorstw, jeśli aplikacja została już aprowizowana w dzierżawie. Aplikację można aprowizować w dzierżawie, jeśli co najmniej jeden użytkownik wyraził już zgodę na tę aplikację. Aby uzyskać więcej informacji, zobacz How and why applications are added to Microsoft Entra ID (Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft).

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby udzielić zgody administratora dla całej dzierżawy na aplikację wymienioną w okienku Aplikacje dla przedsiębiorstw:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
  3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
  4. Wybierz pozycję Uprawnienia w obszarze Zabezpieczenia. Screenshot shows how to grant tenant-wide admin consent.
  5. Dokładnie przejrzyj uprawnienia wymagane przez aplikację. Jeśli zgadzasz się z uprawnieniami wymaganymi przez aplikację, wybierz pozycję Udziel zgody administratora.

Możesz udzielić zgody administratora dla całej dzierżawy od Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra dla aplikacji, które organizacja opracowała i zarejestrowała bezpośrednio w dzierżawie firmy Microsoft Entra.

Aby udzielić zgody administratora dla całej dzierżawy z Rejestracje aplikacji:

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Aplikacje> tożsamości>Rejestracje aplikacji> Wszystkie aplikacje.
  2. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
  3. Wybierz pozycję Uprawnienia interfejsu API w obszarze Zarządzaj.
  4. Dokładnie przejrzyj uprawnienia wymagane przez aplikację. Jeśli zgadzasz się, wybierz pozycję Udziel zgody administratora.

Po udzieleniu zgody administratora dla całej dzierżawy przy użyciu jednej z metod opisanych w poprzedniej sekcji zostanie otwarte okno z centrum administracyjnego firmy Microsoft Entra w celu wyświetlenia monitu o zgodę administratora w całej dzierżawie. Jeśli znasz identyfikator klienta (znany również jako identyfikator aplikacji) aplikacji, możesz utworzyć ten sam adres URL, aby udzielić zgody administratora dla całej dzierżawy.

Adres URL zgody administratora dla całej dzierżawy ma następujący format:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

gdzie:

  • {client-id} jest identyfikatorem klienta aplikacji (nazywanym również identyfikatorem aplikacji).
  • {organization} to identyfikator dzierżawy lub dowolna zweryfikowana nazwa domeny dzierżawy, w której chcesz wyrazić zgodę na aplikację. Możesz użyć wartości organizations, która powoduje, że zgoda ma miejsce w dzierżawie głównej zalogowanego użytkownika.

Jak zawsze należy dokładnie przejrzeć uprawnienia żądane przez aplikację przed udzieleniem zgody.

Aby uzyskać więcej informacji na temat tworzenia adresu URL zgody administratora dla całej dzierżawy, zobacz Administracja zgody na Platforma tożsamości Microsoft.

W tej sekcji udzielasz delegowanych uprawnień aplikacji. Uprawnienia delegowane to uprawnienia, które aplikacja musi uzyskać dostęp do interfejsu API w imieniu zalogowanego użytkownika. Uprawnienia są definiowane przez interfejs API zasobów i przyznawane aplikacji dla przedsiębiorstw, która jest aplikacją kliencką. Ta zgoda jest udzielana w imieniu wszystkich użytkowników.

W poniższym przykładzie interfejs API zasobu to Microsoft Graph identyfikator 7ea9e944-71ce-443d-811c-71e8047b557aobiektu . Interfejs API programu Microsoft Graph definiuje delegowane uprawnienia User.Read.All i Group.Read.All. Wartość consentType to AllPrincipals, wskazująca, że wyrażasz zgodę w imieniu wszystkich użytkowników w dzierżawie. Identyfikator obiektu aplikacji dla przedsiębiorstw klienta to b0d9b9e3-0ecf-4bfd-8dab-9273dd055a941.

Uwaga

Ostrożnie! Uprawnienia przyznane programowo nie podlegają przeglądowi ani potwierdzeniu. Natychmiast wejdą one w życie.

  1. Połączenie do programu Microsoft Graph PowerShell i zaloguj się jako co najmniej Administracja istrator aplikacji w chmurze.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"

  2. Pobierz wszystkie delegowane uprawnienia zdefiniowane przez program Microsoft Graph (aplikacja zasobów) w aplikacji dzierżawy. Zidentyfikuj delegowane uprawnienia, które należy przyznać aplikacji klienckiej. W tym przykładzie uprawnienia delegowania to User.Read.All i Group.Read.All

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl

  3. Udziel delegowanych uprawnień aplikacji klienckiej dla przedsiębiorstw, uruchamiając następujące żądanie.

    $params = @{

"ClientId" = "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
"ConsentType" = "AllPrincipals"
"ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
"Scope" = "User.Read.All Group.Read.All"
}

New-MgOauth2PermissionGrant -BodyParameter $params | 
Format-List Id, ClientId, ConsentType, ResourceId, Scope

  4. Upewnij się, że udzielono zgody administratora dla całej dzierżawy, uruchamiając następujące żądanie.

 Get-MgOauth2PermissionGrant -Filter "clientId eq 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' and consentType eq 'AllPrincipals'"

W tej sekcji przyznasz aplikacji uprawnienia do aplikacji dla przedsiębiorstw. Uprawnienia aplikacji to uprawnienia, których aplikacja potrzebuje do uzyskania dostępu do interfejsu API zasobów. Uprawnienia są definiowane przez interfejs API zasobów i przyznawane aplikacji dla przedsiębiorstw, która jest główną aplikacją. Po udzieleniu aplikacji dostępu do interfejsu API zasobów działa jako usługa w tle lub demon bez zalogowanego użytkownika. Uprawnienia aplikacji są również nazywane rolami aplikacji.

W poniższym przykładzie przyznasz aplikacji microsoft Graph (podmiot zabezpieczeń ) b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94rolę aplikacji (uprawnienie aplikacji) identyfikatora df021288-bdef-4463-88db-98f22de89214 uwidocznionego przez interfejs API zasobu o identyfikatorze 7ea9e944-71ce-443d-811c-71e8047b557a.

  1. Połączenie do programu Microsoft Graph PowerShell i zaloguj się jako Globalny Administracja istrator.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

  2. Pobierz role aplikacji zdefiniowane przez program Microsoft Graph w dzierżawie. Zidentyfikuj rolę aplikacji, którą chcesz przyznać aplikacji klienckiej dla przedsiębiorstw. W tym przykładzie identyfikator roli aplikacji to df021288-bdef-4463-88db-98f22de89214.

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl

  3. Udziel aplikacji uprawnień (roli aplikacji) głównej aplikacji, uruchamiając następujące żądanie.

 $params = @{
  "PrincipalId" ="b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
  "ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Użyj Eksploratora programu Graph, aby udzielić uprawnień delegowanych i aplikacji.

W tej sekcji udzielasz delegowanych uprawnień aplikacji. Uprawnienia delegowane to uprawnienia, które aplikacja musi uzyskać dostęp do interfejsu API w imieniu zalogowanego użytkownika. Uprawnienia są definiowane przez interfejs API zasobów i przyznawane aplikacji dla przedsiębiorstw, która jest aplikacją kliencką. Ta zgoda jest udzielana w imieniu wszystkich użytkowników.

Musisz zalogować się jako co najmniej Administracja istrator aplikacji w chmurze.

W poniższym przykładzie interfejs API zasobu to Microsoft Graph identyfikator 7ea9e944-71ce-443d-811c-71e8047b557aobiektu . Interfejs API programu Microsoft Graph definiuje delegowane uprawnienia User.Read.All i Group.Read.All. Wartość consentType to AllPrincipals, wskazująca, że wyrażasz zgodę w imieniu wszystkich użytkowników w dzierżawie. Identyfikator obiektu aplikacji dla przedsiębiorstw klienta to b0d9b9e3-0ecf-4bfd-8dab-9273dd055a941.

Uwaga

Ostrożnie! Uprawnienia przyznane programowo nie podlegają przeglądowi ani potwierdzeniu. Natychmiast wejdą one w życie.

  1. Pobierz wszystkie delegowane uprawnienia zdefiniowane przez program Microsoft Graph (aplikacja zasobów) w aplikacji dzierżawy. Zidentyfikuj delegowane uprawnienia, które należy przyznać aplikacji klienckiej. W tym przykładzie uprawnienia delegowania to User.Read.All i Group.Read.All

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes

  2. Udziel delegowanych uprawnień aplikacji klienckiej dla przedsiębiorstw, uruchamiając następujące żądanie.

    POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants

Request body
{
   "clientId": "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94",
   "consentType": "AllPrincipals",
   "resourceId": "7ea9e944-71ce-443d-811c-71e8047b557a",
   "scope": "User.Read.All Group.Read.All"
}

  3. Upewnij się, że udzielono zgody administratora dla całej dzierżawy, uruchamiając następujące żądanie.

    GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' and consentType eq 'AllPrincipals'

W tej sekcji przyznasz aplikacji uprawnienia do aplikacji dla przedsiębiorstw. Uprawnienia aplikacji to uprawnienia, których aplikacja potrzebuje do uzyskania dostępu do interfejsu API zasobów. Uprawnienia są definiowane przez interfejs API zasobów i przyznawane aplikacji dla przedsiębiorstw, która jest główną aplikacją. Po udzieleniu aplikacji dostępu do interfejsu API zasobów działa jako usługa w tle lub demon bez zalogowanego użytkownika. Uprawnienia aplikacji są również nazywane rolami aplikacji.

W poniższym przykładzie przyznasz aplikacji program Microsoft Graph (podmiot zabezpieczeń identyfikatora b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94) rolę aplikacji (uprawnienie aplikacji) identyfikatora df021288-bdef-4463-88db-98f22de89214 uwidocznionego przez aplikację przedsiębiorstwa zasobu o identyfikatorze 7ea9e944-71ce-443d-811c-71e8047b557a.

Musisz podpisać się jako globalny Administracja istrator.

  1. Pobierz role aplikacji zdefiniowane przez program Microsoft Graph w dzierżawie. Zidentyfikuj rolę aplikacji, którą chcesz przyznać aplikacji klienckiej dla przedsiębiorstw. W tym przykładzie identyfikator roli aplikacji to df021288-bdef-4463-88db-98f22de89214

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles

  2. Udziel aplikacji uprawnień (roli aplikacji) głównej aplikacji, uruchamiając następujące żądanie.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/7ea9e944-71ce-443d-811c-71e8047b557a/appRoleAssignedTo

Request body

{
   "principalId": "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94",
   "resourceId": "7ea9e944-71ce-443d-811c-71e8047b557a",
   "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
}

Następne kroki