A ID externa do Microsoft Entra para clientes permite que sua organização gerencie as identidades dos clientes e controle com segurança o acesso aos aplicativos e APIs voltados para o público. Aplicativos em que seus clientes podem comprar seus produtos, assinar seus serviços ou acessar a conta e os dados deles. Seus clientes só precisam entrar em um dispositivo ou navegador da Web uma vez e ter acesso a todos os seus aplicativos cujas permissões você concedeu a eles.
Para permitir que seu aplicativo entre com a ID Externa, você precisa registrar seu aplicativo com a ID Externa. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e a ID Externa.
Durante o registro do aplicativo, você especifica o URI de redirecionamento. O URI de redirecionamento é o ponto de extremidade para o qual os usuários são redirecionados pela ID Externa após a autenticação. O processo de registro do aplicativo gera uma ID de aplicativo, também conhecida como ID do cliente, que identifica o aplicativo de modo exclusivo.
A ID Externa oferece suporte à autenticação para várias arquiteturas de aplicativos modernos, por exemplo, aplicativo da Web ou aplicativo de página única. A interação de cada tipo de aplicativo com o locatário externo é diferente, portanto, especifique o tipo de aplicativo que deseja registrar.
Neste artigo, você aprenderá a registrar um aplicativo em seu locatário externo.
Registrar seu aplicativo de página única
A ID Externa oferece suporte à autenticação para aplicativos de página única (SPAs).
As seguintes etapas mostram como registrar seu SPA no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações 
no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:
Na seção Nome, insira um nome de aplicativo relevante para ser exibido aos usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Em URI de Redirecionamento (opcional), selecione SPA (Aplicativo de página única) e, na caixa de texto da URL, insira http://localhost:3000/.
Selecione Registrar.
O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.
Sobre o URI de redirecionamento
O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (nesse caso, o Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.
Em um aplicativo de produção, normalmente é um ponto de extremidade de acesso público no qual o aplicativo está em execução, como https://contoso.com/auth-response.
Durante o desenvolvimento do aplicativo, é possível adicionar o ponto de extremidade no qual o aplicativo escuta localmente, como http://localhost:3000. Adicione e modifique URIs de redirecionamento nos aplicativos registrados a qualquer momento.
As restrições a seguir se aplicam a URLs de redirecionamento:
A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento de localhost.
A URL de resposta diferencia maiúsculas de minúsculas. As letras maiúsculas e minúsculas devem corresponder às letras maiúsculas e minúsculas do caminho da URL do aplicativo em execução. Por exemplo, se o aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos diferenciando maiúsculas de minúsculas, os cookies associados a .../abc/response-oidc podem ser excluídos se forem redirecionados para a URL de .../ABC/response-oidc com maiúsculas e minúsculas não correspondentes.
A URL de resposta deve incluir ou excluir a barra à direita conforme o aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs incompatíveis em seu aplicativo.
Conceder consentimento do administrador
Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
- Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.
Conceder permissões de API (opcional):
Se o SPA precisar chamar uma API, você deverá conceder permissões de API ao SPA para que ele possa chamar a API. Você também deve registrar a API Web que precisa chamar.
Para conceder permissões de API ao aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões Configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que a minha organização usa.
Na lista de APIs, selecione a API como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões. Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é um locatário do cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
Selecione Atualizar e verifique se Concedido para <nome do seu locatário> aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão completa é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Se você quiser saber como expor as permissões adicionando um link, vá para a seção API Web .
Testar o fluxo do usuário (opcional)
Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.
Importante
O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.
Para habilitar o fluxo implícito, siga estas etapas:
- Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
- Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o registro do aplicativo que você criou.
- Em Gerenciar, selecione Autenticação.
- Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
- Selecione Salvar.
Registrar seu aplicativo Web
A ID Externa oferece suporte à autenticação para aplicativos da Web.
As seguintes etapas mostram como registrar seu aplicativo Web no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:
Na seção Nome, insira um nome de aplicativo relevante para ser exibido aos usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Em URI de redirecionamento (opcional), selecione Web e, na caixa da URL, insira uma URL, como http://localhost:3000/.
Selecione Registrar.
O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.
Sobre o URI de redirecionamento
O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (nesse caso, o Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.
Em um aplicativo de produção, normalmente é um ponto de extremidade de acesso público no qual o aplicativo está em execução, como https://contoso.com/auth-response.
Durante o desenvolvimento do aplicativo, é possível adicionar o ponto de extremidade no qual o aplicativo escuta localmente, como http://localhost:3000. Adicione e modifique URIs de redirecionamento nos aplicativos registrados a qualquer momento.
As restrições a seguir se aplicam a URLs de redirecionamento:
A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento de localhost.
A URL de resposta diferencia maiúsculas de minúsculas. As letras maiúsculas e minúsculas devem corresponder às letras maiúsculas e minúsculas do caminho da URL do aplicativo em execução. Por exemplo, se o aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos diferenciando maiúsculas de minúsculas, os cookies associados a .../abc/response-oidc podem ser excluídos se forem redirecionados para a URL de .../ABC/response-oidc com maiúsculas e minúsculas não correspondentes.
A URL de resposta deve incluir ou excluir a barra à direita conforme o aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs incompatíveis em seu aplicativo.
Conceder consentimento do administrador
Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
- Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.
Criar um segredo do cliente
Crie um segredo do cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para confirmar sua identidade ao solicitar tokens.
- Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
- Em Gerenciar, selecione Certificados e segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, ciam app client secret).
- Em Expira, selecione o período pelo qual o segredo será válido (conforme as regras de segurança da sua organização) e selecione Adicionar.
- Registre o Valor do segredo. Você usará esse valor para uma configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado de forma nenhuma depois que você sair dos Certificados e segredos. Certifique-se de registrá-lo.
Conceder permissões de API (opcional)
Se o aplicativo Web precisar chamar uma API, você deverá conceder permissões de API ao aplicativo Web para que ele possa chamar a API. Você também deve registrar a API Web que precisa chamar.
Para conceder permissões de API ao aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões Configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que a minha organização usa.
Na lista de APIs, selecione a API como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões. Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é um locatário do cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
Selecione Atualizar e verifique se Concedido para <nome do seu locatário> aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão completa é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Testar o fluxo do usuário (opcional)
Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.
Importante
O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.
Para habilitar o fluxo implícito, siga estas etapas:
- Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
- Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o registro do aplicativo que você criou.
- Em Gerenciar, selecione Autenticação.
- Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
- Selecione Salvar.
Registrar sua API Web
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:
Na seção Nome, insira algo fácil de lembrar para ser exibido aos usuários do aplicativo, por exemplo, ciam-ToDoList-api.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Selecione Registrar para criar o aplicativo.
O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.
Expor permissões
Uma API precisa publicar um mínimo de um escopo, também chamado de permissão delegada, para que os aplicativos cliente obtenham um token de acesso para um usuário com êxito. Para publicar um escopo, siga estas etapas:
Na página Registros de aplicativo, selecione o aplicativo de API que você criou (ciam-ToDoList-api) para abrir a respectiva página Visão geral.
Em Gerenciar, selecione Expor uma API.
Na parte superior da página, ao lado do URI da ID do Aplicativo, selecione o link Adicionar para gerar um URI exclusivo para esse aplicativo.
Aceite o URI da ID do Aplicativo proposto, como api://{clientId}, e selecione Salvar. Quando o aplicativo Web solicita um token de acesso à API Web, ele adiciona esse URI como prefixo para cada escopo que você define para a API.
Em Escopos definidos por esta API, selecione Adicionar um escopo.
Digite os seguintes valores que definem um acesso de leitura à API e selecione Adicionar escopo para salvar as alterações:
| Propriedade |
Valor |
| Nome do escopo |
ToDoList.Read |
| Quem pode consentir |
Somente administradores |
| Nome de exibição de consentimento do administrador |
Leia a lista de tarefas dos usuários usando a "TodoListApi" |
| Descrição do consentimento do administrador |
Permita que o aplicativo leia a lista de tarefas do usuário usando a TodoListApi". |
| Estado |
Enabled |
Selecione Adicionar um escopo novamente e digite os seguintes valores que definem um escopo de acesso de leitura e gravação à API. Selecione Adicionar escopo para salvar as alterações:
| Propriedade |
Valor |
| Nome do escopo |
ToDoList.ReadWrite |
| Quem pode consentir |
Somente administradores |
| Nome de exibição de consentimento do administrador |
Leia e grave listas ToDo usando “ToDoListApi” |
| Descrição do consentimento do administrador |
Permita que o aplicativo leia e grave na lista ToDo do usuário usando “ToDoListApi” |
| Estado |
Enabled |
Em Gerenciar, selecione Manifesto para abrir o editor de manifesto da API.
Defina a propriedade accessTokenAcceptedVersion como 2.
Selecione Salvar.
Saiba mais sobre o princípio do privilégio mínimo ao publicar permissões para uma API Web.
Adicionar funções de aplicativo
Uma API precisa publicar pelo menos uma função de aplicativo, também chamada de Permissão de Aplicativo, para que os aplicativos cliente possam obter um token de acesso em nome deles próprios. As permissões de aplicativo são o tipo de permissões que as APIs devem publicar quando desejam permitir que os aplicativos cliente se autentiquem com êxito como eles mesmos e não precisem conectar usuários. Para publicar uma permissão de aplicativo, siga estas etapas:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-ToDoList-api) para abrir sua página Visão geral.
Em Gerenciar, selecione Funções do aplicativo.
Selecione Criar função do aplicativo, insira os seguintes valores e selecione Aplicar para salvar suas alterações:
| Propriedade |
Valor |
| Nome de exibição |
ToDoList.Read.All |
| Tipos de membro permitidos |
Aplicativos |
| Valor |
ToDoList.Read.All |
| Descrição |
Permitir que o aplicativo leia a lista ToDo de cada usuário usando "TodoListApi" |
Selecione Criar função de aplicativo novamente, insira os seguintes valores para a segunda função de aplicativo e selecione Aplicar para salvar suas alterações:
| Propriedade |
Valor |
| Nome de exibição |
ToDoList.ReadWrite.All |
| Tipos de membro permitidos |
Aplicativos |
| Valor |
ToDoList.ReadWrite.All |
| Descrição |
Permitir que o aplicativo leia e grave na lista ToDo de cada usuário usando 'TodoListApi' |
Registrar seu aplicativo desktop ou móvel
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:
Na seção Nome, insira um nome de aplicativo relevante para ser exibido aos usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Em URI de redirecionamento (opcional), selecione a opção Aplicativos móveis e da área de trabalho e, na caixa URL, insira um URI com um esquema exclusivo. Por exemplo, o URI de redirecionamento do aplicativo da área de trabalho Electron é algo semelhante ao http://localhost de uma MAUI (.NET Multi-Platform App UI) semelhante a msal{ClientId}://auth.
Selecione Registrar.
O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.
Conceder consentimento do administrador
Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
- Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.
Conceder permissões de API (opcional)
Se seu aplicativo móvel precisar chamar uma API, você deverá conceder permissões de API ao aplicativo móvel para que ele possa chamar a API. Você também deve registrar a API Web que precisa chamar.
Para conceder permissões de API ao aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões Configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que a minha organização usa.
Na lista de APIs, selecione a API como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões. Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é um locatário do cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
Selecione Atualizar e verifique se Concedido para <nome do seu locatário> aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão completa é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Testar o fluxo do usuário (opcional)
Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.
Importante
O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.
Para habilitar o fluxo implícito, siga estas etapas:
- Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
- Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o registro do aplicativo que você criou.
- Em Gerenciar, selecione Autenticação.
- Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
- Selecione Salvar.
Registrar seu aplicativo Daemon
As seguintes etapas mostram como registrar seu aplicativo daemon no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece, insira as informações de registro do aplicativo:
Na seção Nome, insira algo fácil de lembrar para ser exibido aos usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Selecione Registrar.
O painel Visão geral do aplicativo é exibido quando o registro for concluído. Registre a ID do Diretório (locatário) e a ID do aplicativo (cliente) a ser usada no código-fonte do aplicativo.
Conceder permissões de API
Um aplicativo daemon entra como ele mesmo usando o fluxo de credenciais de cliente do OAuth 2.0. Você concede permissões de aplicativo (funções de aplicativo), que são exigidas por aplicativos que se autenticam como eles mesmos. Você também deve registrar a API Web que seu aplicativo daemon precisa chamar.
Na página Registros de aplicativo, selecione o aplicativo que você criou, como ciam-client-app.
Em Gerenciar, selecione Permissões de API.
Em Permissões Configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que a minha organização usa.
Na lista de APIs, selecione a API como ciam-ToDoList-api.
Selecione a opção Permissões de aplicativo. Selecionamos essa opção quando o aplicativo faz login como ele mesmo, mas não em nome de um usuário.
Na lista de permissões, selecione TodoList.Read.All, ToDoList.ReadWrite.ALL (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões.
Neste ponto, você atribuiu as permissões corretamente. No entanto, como o aplicativo daemon não permite que os usuários interajam com ele, os próprios usuários não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
- Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
- Selecione Atualizar e verifique se Concedido para <nome do seu locatário> aparece em Status para ambas as permissões.
Testar o fluxo do usuário (opcional)
Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.
Importante
O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.
Para habilitar o fluxo implícito, siga estas etapas:
- Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
- Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o registro do aplicativo que você criou.
- Em Gerenciar, selecione Autenticação.
- Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
- Selecione Salvar.
Registrar um aplicativo da API do Microsoft Graph
Para permitir a entrada de usuários com o Microsoft Entra no seu aplicativo, a ID externa do Microsoft Entra deve estar ciente do aplicativo criado. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e o Microsoft Entra. Quando você registra um aplicativo, o External ID gera um identificador exclusivo conhecido como ID do Aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece;
- Insira um Nome de aplicativo relevante que será exibido aos usuários do aplicativo, por exemplo,ciam-client-app.
- Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Selecione Registrar.
O painel Visão geral do aplicativo será exibido após o registro bem-sucedido. Registre a ID do aplicativo (cliente) que será usada no código-fonte do aplicativo.
Conceder acesso à API ao seu aplicativo
Para que seu aplicativo acesse dados na API do Microsoft Graph, conceda ao aplicativo registrado as permissões de aplicativo relevantes. As permissões efetivas do seu aplicativo são o nível completo de privilégios implícitos pela permissão. Por exemplo, para criar, ler, atualizar e excluir todos os usuários em seu locatário externo, adicione a permissão User.ReadWrite.All.
Em Gerenciar, selecione Permissões de API.
Em Permissões Configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs da Microsoft e Microsoft Graph.
Selecione Permissões de aplicativo.
Expanda o grupo de permissões apropriado e marque a caixa de seleção da permissão a ser concedida ao seu aplicativo de gerenciamento. Por exemplo:
Usuário>User.ReadWrite.All: para cenários de migração de usuário ou de gerenciamento de usuário.
Grupo>Group.ReadWrite.All: para criar grupos, ler e atualizar associações de grupo e excluir grupos.
AuditLog>AuditLog.Read.All: para ler os logs de auditoria do diretório.
Política>Policy.ReadWrite.TrustFramework: para cenários de CI/CD (integração contínua/entrega contínua). Por exemplo, implantação de política personalizada com Azure Pipelines.
Selecione Adicionar Permissões. Conforme as instruções, aguarde alguns minutos antes de seguir para a próxima etapa.
Selecione Fornecer o consentimento do administrador para (nome do seu locatário) .
Se você não estiver conectado no momento, entre com uma conta no seu locatário externo à qual tenha sido atribuída, no mínimo, a função Administrador de aplicativos de nuvem e selecione Conceder consentimento de administrador para (seu nome de locatário).
Selecione Atualizar e, em seguida, verifique se "Concedido para..." aparece em Status. Pode levar alguns minutos para que as permissões sejam propagadas.
Depois de registrar seu aplicativo, você precisa adicionar um segredo do cliente ao seu aplicativo. Esse segredo do cliente será usado para autenticar seu aplicativo para chamar a API do Microsoft Graph.
Criar um segredo do cliente
Crie um segredo do cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para confirmar sua identidade ao solicitar tokens.
- Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
- Em Gerenciar, selecione Certificados e segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, ciam app client secret).
- Em Expira, selecione o período pelo qual o segredo será válido (conforme as regras de segurança da sua organização) e selecione Adicionar.
- Registre o Valor do segredo. Você usará esse valor para uma configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado de forma nenhuma depois que você sair dos Certificados e segredos. Certifique-se de registrá-lo.
Testar o fluxo do usuário (opcional)
Para testar um fluxo de usuário com esse registro de aplicativo, habilite o fluxo de concessão implícito para autenticação.
Importante
O fluxo implícito deve ser usado apenas para fins de teste e não para autenticar usuários em seus aplicativos de produção. Depois de concluir o teste, recomendamos removê-lo.
Para habilitar o fluxo implícito, siga estas etapas:
- Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
- Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
- Navegue até Identidade>Aplicativos>Registros de aplicativo.
- Selecione o registro do aplicativo que você criou.
- Em Gerenciar, selecione Autenticação.
- Na seção Concessão implícita e fluxos híbridos, selecione a caixa de seleção Tokens de ID (usados para fluxos implícitos e híbridos).
- Selecione Salvar.
Registrar um aplicativo de autenticação nativo
Para permitir a entrada de usuários com o Microsoft Entra no seu aplicativo, a ID externa do Microsoft Entra deve estar ciente do aplicativo criado. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e o Microsoft Entra. Quando você registra um aplicativo, o External ID gera um identificador exclusivo conhecido como ID do Aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Faça login no Centro de administração do Microsoft Entra como pelo menos um Desenvolvedor de aplicativos.
Se tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o seu locatário externo no menu Diretórios + assinaturas.
Navegue até Identidade>Aplicativos>Registros do aplicativo.
Selecione + Novo Registro.
Na página Registrar um aplicativo que aparece;
- Insira um Nome de aplicativo relevante que será exibido aos usuários do aplicativo, por exemplo,ciam-client-app.
- Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Selecione Registrar.
O painel Visão geral do aplicativo será exibido após o registro bem-sucedido. Grave a ID do aplicativo (cliente) que será usada no código-fonte do aplicativo.
Conceder consentimento do administrador
Depois de registrar seu aplicativo, ele recebe a permissão User.Read . No entanto, como o locatário é um locatário externo, os próprios usuários do cliente não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
Na página Registros de aplicativo, selecione o aplicativo que você criou (como ciam-client-app) para abrir sua página Visão geral.
Em Gerenciar, selecione Permissões de API.
- Selecione Dar consentimento de administrador para <nome do seu locatário> e selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status da permissão.
Como habilitar os fluxos do cliente público e da autenticação nativa
Para especificar que este aplicativo é um cliente público e pode usar a autenticação nativa, habilite os fluxos do cliente público e da autenticação nativa:
- Na página de registros de aplicativo, selecione o registro de aplicativo para o qual deseja habilitar os fluxos do cliente público e da autenticação nativa.
- Em Gerenciar, selecione Autenticação.
- Em Configurações avançadas, permita os fluxos do cliente público:
- Em Habilitar os seguintes fluxos móveis e de desktop, selecione Sim.
- Em Habilitar a autenticação nativa, escolha Sim.
- Selecione o botão Salvar.
Depois de registrar um novo aplicativo, você pode encontrar a ID do aplicativo (cliente) na visão geral no centro de administração do Microsoft Entra.
Locatários da força de trabalho 
Locatários externos (saiba mais)
