O Microsoft Entra External ID permite que sua organização gerencie as identidades dos clientes e controle com segurança o acesso às suas APIs e aplicativos voltados para o público. Aplicações onde os seus clientes podem comprar os seus produtos, subscrever os seus serviços ou aceder à respetiva conta e dados. Seus clientes só precisam entrar em um dispositivo ou navegador da Web uma vez e ter acesso a todos os seus aplicativos que você lhes concedeu permissões.
Para permitir que seu aplicativo entre com ID Externa, você precisa registrar seu aplicativo com ID Externa. O registro do aplicativo estabelece uma relação de confiança entre o aplicativo e a ID externa.
Durante o registro do aplicativo, você especifica o URI de redirecionamento. O URI de redirecionamento é o ponto de extremidade para o qual os usuários são redirecionados pela ID externa depois de se autenticarem. O processo de registro do aplicativo gera uma ID do aplicativo, também conhecida como ID do cliente, que identifica exclusivamente seu aplicativo.
A ID externa suporta autenticação para várias arquiteturas de aplicativos modernos, por exemplo, aplicativo Web ou aplicativo de página única. A interação de cada tipo de aplicativo com o locatário externo é diferente, portanto, você deve especificar o tipo de aplicativo que deseja registrar.
Neste artigo, você aprenderá a registrar um aplicativo em seu locatário externo.
Registe a sua aplicação de página única
A ID externa suporta autenticação para aplicativos de página única (SPAs).
As etapas a seguir mostram como registrar seu SPA no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone 
Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que seja exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Em Redirecionar URI (opcional), selecione Aplicativo de página única (SPA) e, na caixa URL, digite http://localhost:3000/.
Selecione Registar.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Sobre o URI de redirecionamento
O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (neste caso, Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.
Em um aplicativo de produção, normalmente é um ponto de extremidade acessível publicamente onde seu aplicativo está sendo executado, como https://contoso.com/auth-response.
Durante o desenvolvimento do aplicativo, você pode adicionar o ponto de extremidade onde seu aplicativo escuta localmente, como http://localhost:3000. Você pode adicionar e modificar URIs de redirecionamento em seus aplicativos registrados a qualquer momento.
As seguintes restrições se aplicam aos URIs de redirecionamento:
A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento localhost.
O URL de resposta diferencia maiúsculas de minúsculas. Seu caso deve corresponder ao caso do caminho da URL do seu aplicativo em execução. Por exemplo, se o seu aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos como diferenciadores de maiúsculas e minúsculas, os cookies associados podem .../abc/response-oidc ser excluídos se redirecionados para o URL incompatível com maiúsculas e minúsculas .../ABC/response-oidc .
O URL de resposta deve incluir ou excluir a barra à direita conforme o seu aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs não correspondentes em seu aplicativo.
Conceder consentimento do administrador
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API. Na lista Permissões configuradas, seu aplicativo recebeu a permissão User.Read. No entanto, como o locatário é um locatário externo, os próprios usuários consumidores não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Conceder permissões de API (opcional):
Se o SPA precisar chamar uma API, você deverá conceder permissões à API do SPA para que ele possa chamar a API. Você também deve registrar a API da Web que você precisa chamar.
Para conceder permissões de API ao seu aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões . Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é locatário de um cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão total é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Se você quiser saber como expor as permissões adicionando um link, vá para a seção API da Web.
Registrar seu aplicativo Web
A ID externa suporta autenticação para aplicações Web.
As etapas a seguir mostram como registrar seu aplicativo Web no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que seja exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Em Redirecionar URI (opcional), selecione Web e, na caixa URL, insira uma URL como http://localhost:3000/.
Selecione Registar.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Sobre o URI de redirecionamento
O URI de redirecionamento é o ponto de extremidade para o qual o usuário é enviado pelo servidor de autorização (neste caso, Microsoft Entra ID) depois de concluir sua interação com o usuário e para o qual um token de acesso ou código de autorização é enviado após a autorização bem-sucedida.
Em um aplicativo de produção, normalmente é um ponto de extremidade acessível publicamente onde seu aplicativo está sendo executado, como https://contoso.com/auth-response.
Durante o desenvolvimento do aplicativo, você pode adicionar o ponto de extremidade onde seu aplicativo escuta localmente, como http://localhost:3000. Você pode adicionar e modificar URIs de redirecionamento em seus aplicativos registrados a qualquer momento.
As seguintes restrições se aplicam aos URIs de redirecionamento:
A URL de resposta deve começar com o esquema https, a menos que você use uma URL de redirecionamento localhost.
O URL de resposta diferencia maiúsculas de minúsculas. Seu caso deve corresponder ao caso do caminho da URL do seu aplicativo em execução. Por exemplo, se o seu aplicativo incluir como parte de seu caminho .../abc/response-oidc, não especifique .../ABC/response-oidc na URL de resposta. Como o navegador da Web trata os caminhos como diferenciadores de maiúsculas e minúsculas, os cookies associados podem .../abc/response-oidc ser excluídos se redirecionados para o URL incompatível com maiúsculas e minúsculas .../ABC/response-oidc .
O URL de resposta deve incluir ou excluir a barra à direita conforme o seu aplicativo espera. Por exemplo, https://contoso.com/auth-response e https://contoso.com/auth-response/ podem ser tratados como URLs não correspondentes em seu aplicativo.
Conceder consentimento do administrador
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API. Na lista Permissões configuradas, seu aplicativo recebeu a permissão User.Read. No entanto, como o locatário é um locatário externo, os próprios usuários consumidores não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Criar um segredo do cliente
Crie um segredo de cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para provar sua identidade quando solicita tokens.
- Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
- Em Gerenciar, selecione Certificados & segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, segredo do cliente do aplicativo ciam).
- Em Expira, selecione uma duração para a qual o segredo é válido (de acordo com as regras de segurança da sua organização) e, em seguida, selecione Adicionar.
- Registre o valor do segredo. Você usará esse valor para configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado por nenhum meio, depois que você navegar para longe dos Certificados e segredos. Certifique-se de gravá-lo.
Conceder permissões de API (opcional)
Se seu aplicativo Web precisar chamar uma API, você deverá conceder permissões à API do aplicativo Web para que ele possa chamar a API. Você também deve registrar a API da Web que você precisa chamar.
Para conceder permissões de API ao seu aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões . Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é locatário de um cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão total é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Registre sua API Web
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que será exibido para os usuários do aplicativo, por exemplo , ciam-ToDoList-api.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar para criar a aplicação.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Expor permissões
Uma API precisa publicar no mínimo um escopo, também chamado de Permissão Delegada, para que os aplicativos cliente obtenham um token de acesso para um usuário com êxito. Para publicar um escopo, siga estas etapas:
Na página Registros de aplicativos, selecione o aplicativo de API que você criou (ciam-ToDoList-api) para abrir sua página Visão geral.
Em Gerenciar, selecione Expor uma API.
Na parte superior da página, ao lado de URI da ID do aplicativo, selecione o link Adicionar para gerar um URI exclusivo para este aplicativo.
Aceite o URI de ID do aplicativo proposto, como api://{clientId}, e selecione Salvar. Quando seu aplicativo Web solicita um token de acesso para a API da Web, ele adiciona o URI como o prefixo para cada escopo que você define para a API.
Em Escopos definidos por esta API, selecione Adicionar um escopo.
Insira os seguintes valores que definem um acesso de leitura à API e selecione Adicionar escopo para salvar as alterações:
| Property |
valor |
| Nome do âmbito |
ToDoList.Leia |
| Quem pode consentir |
Apenas administradores |
| Nome a apresentar do consentimento do administrador |
Leia a lista de ToDo dos usuários usando o 'TodoListApi' |
| Descrição do consentimento do administrador |
Permita que o aplicativo leia a lista de ToDo do usuário usando o 'TodoListApi'. |
| Estado |
Ativado |
Selecione Adicionar um escopo novamente e insira os seguintes valores que definem um escopo de acesso de leitura e gravação à API. Selecione Adicionar escopo para salvar as alterações:
| Property |
valor |
| Nome do âmbito |
ToDoList.ReadWrite |
| Quem pode consentir |
Apenas administradores |
| Nome a apresentar do consentimento do administrador |
Leia e escreva a lista de ToDo dos usuários usando o 'ToDoListApi' |
| Descrição do consentimento do administrador |
Permitir que o aplicativo leia e escreva a lista de ToDo do usuário usando o 'ToDoListApi' |
| Estado |
Ativado |
Em Gerenciar, selecione Manifesto para abrir o editor de manifesto da API.
Defina accessTokenAcceptedVersion a propriedade como 2.
Selecione Guardar.
Saiba mais sobre o princípio do menor privilégio ao publicar permissões para uma API da Web.
Adicionar funções de aplicativo
Uma API precisa publicar um mínimo de uma função de aplicativo para aplicativos, também chamada de Permissão de Aplicativo, para que os aplicativos cliente obtenham um token de acesso como eles mesmos. As permissões de aplicativo são o tipo de permissões que as APIs devem publicar quando desejam permitir que os aplicativos cliente se autentiquem com êxito como eles mesmos e não precisem entrar usuários. Para publicar uma permissão de aplicativo, execute estas etapas:
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-ToDoList-api) para abrir sua página Visão geral.
Em Gerir, selecione Funções da aplicação.
Selecione Criar função de aplicativo, insira os seguintes valores e selecione Aplicar para salvar as alterações:
| Property |
valor |
| Display name |
ToDoList.Read.All |
| Tipos de membros permitidos |
Aplicações |
| Value |
ToDoList.Read.All |
| Description |
Permita que o aplicativo leia a lista de ToDo de cada usuário usando o 'TodoListApi' |
Selecione Criar função de aplicativo novamente e, em seguida, insira os seguintes valores para a segunda função de aplicativo e selecione Aplicar para salvar as alterações:
| Property |
valor |
| Display name |
ToDoList.ReadWrite.All |
| Tipos de membros permitidos |
Aplicações |
| Value |
ToDoList.ReadWrite.All |
| Description |
Permita que o aplicativo leia e escreva a lista de ToDo de cada usuário usando o 'ToDoListApi' |
Registe a sua aplicação para computadores ou dispositivos móveis
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que seja exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Em Redirecionar URI (opcional), selecione a opção Aplicativos móveis e de desktop e, na caixa URL, insira um URI com um esquema exclusivo. Por exemplo, o URI de redirecionamento do aplicativo de desktop Electron é semelhante ao http://localhost de uma interface do usuário do aplicativo multiplataforma .NET (MAUI) semelhante ao msal{ClientId}://auth.
Selecione Registar.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Conceder consentimento do administrador
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API. Na lista Permissões configuradas, seu aplicativo recebeu a permissão User.Read. No entanto, como o locatário é um locatário externo, os próprios usuários consumidores não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Conceder permissões de API (opcional)
Se seu aplicativo móvel precisar chamar uma API, você deverá conceder permissões à API do aplicativo móvel para que ele possa chamar a API. Você também deve registrar a API da Web que você precisa chamar.
Para conceder permissões de API ao seu aplicativo cliente (ciam-client-app), siga estas etapas:
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões delegadas.
Na lista de permissões, selecione ToDoList.Read, ToDoList.ReadWrite (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões . Neste ponto, você atribuiu as permissões corretamente. No entanto, como o locatário é locatário de um cliente, os próprios usuários consumidores não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Na lista Permissões configuradas, selecione as permissões ToDoList.Read e ToDoList.ReadWrite, uma de cada vez, e copie o URI completo da permissão para uso posterior. O URI de permissão total é semelhante a api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.
Registe a sua aplicação Daemon
As etapas a seguir mostram como registrar seu aplicativo daemon no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura apresentada, introduza as informações de registo da sua candidatura:
Na seção Nome, insira um nome de aplicativo significativo que será exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar.
O painel Visão geral do aplicativo é exibido quando o registro é concluído. Registre o ID do diretório (locatário) e o ID do aplicativo (cliente) a serem usados no código-fonte do aplicativo.
Conceder permissões de API
Um aplicativo daemon entra como ele mesmo usando o fluxo de credenciais do cliente OAuth 2.0. Você concede permissões de aplicativo (funções de aplicativo), o que é exigido por aplicativos que se autenticam como eles mesmos. Você também deve registrar a API da Web que seu aplicativo daemon precisa chamar.
Na página Registros de aplicativos, selecione o aplicativo que você criou, como ciam-client-app.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs que minha organização usa .
Na lista de APIs, selecione a API, como ciam-ToDoList-api.
Selecione a opção Permissões do aplicativo. Selecionamos essa opção quando o aplicativo entra como ele mesmo, não como usuários.
Na lista de permissões, selecione TodoList.Read.All, ToDoList.ReadWrite.All (use a caixa de pesquisa, se necessário).
Selecione o botão Adicionar permissões .
Neste ponto, você atribuiu as permissões corretamente. No entanto, como o aplicativo daemon não permite que os usuários interajam com ele, os próprios usuários não podem consentir com essas permissões. Para resolver esse problema, você, como administrador, deve consentir com essas permissões em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambas as permissões.
Registrar um aplicativo da API do Microsoft Graph
Para permitir que seu aplicativo entre usuários com o Microsoft Entra, a ID Externa do Microsoft Entra deve estar ciente do aplicativo criado. O registo da aplicação estabelece uma relação de confiança entre a aplicação e o Microsoft Entra. Quando você registra um aplicativo, o ID externo gera um identificador exclusivo conhecido como ID do aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura que aparece;
- Insira um Nome de aplicativo significativo que é exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
- Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar.
O painel Visão geral do aplicativo é exibido após o registro bem-sucedido. Registre o ID do aplicativo (cliente) a ser usado no código-fonte do aplicativo.
Conceder acesso à API ao seu aplicativo
Para que seu aplicativo acesse dados na API do Microsoft Graph, conceda ao aplicativo registrado as permissões de aplicativo relevantes. As permissões efetivas do seu aplicativo são o nível completo de privilégios implícitos pela permissão. Por exemplo, para criar, ler, atualizar e excluir todos os usuários em seu locatário externo, adicione a permissão User.ReadWrite.All.
Em Gerenciar, selecione Permissões de API.
Em Permissões configuradas, selecione Adicionar uma permissão.
Selecione a guia APIs da Microsoft e, em seguida, selecione Microsoft Graph.
Selecione Permissões de aplicação.
Expanda o grupo de permissões apropriado e marque a caixa de seleção da permissão a ser concedida ao seu aplicativo de gerenciamento. Por exemplo:
User>User.ReadWrite.All: Para cenários de migração de usuários ou gerenciamento de usuários.
Grupo>Group.ReadWrite.All: Para criar grupos, leia e atualize associações de grupo e exclua grupos.
AuditLog>AuditLog.Read.All: Para ler os logs de auditoria do diretório.
Policy>Policy.ReadWrite.TrustFramework: Para cenários de integração contínua/entrega contínua (CI/CD). Por exemplo, implantação de política personalizada com o Azure Pipelines.
Selecione Adicionar permissões. Conforme indicado, aguarde alguns minutos antes de prosseguir para a próxima etapa.
Selecione Conceder consentimento de administrador para (seu nome de locatário).
Se não tiver sessão iniciada no momento, inicie sessão com uma conta no seu inquilino externo à qual tenha sido atribuída pelo menos a função de Administrador de Aplicações na Nuvem e, em seguida, selecione Conceder consentimento de administrador para (o nome do seu inquilino).
Selecione Atualizar e verifique se "Concedido para..." aparece em Status. Pode levar alguns minutos para que as permissões se propaguem.
Depois de ter registado o seu pedido, tem de adicionar um segredo de cliente ao seu pedido. Esse segredo do cliente será usado para autenticar seu aplicativo para chamar a API do Microsoft Graph.
Criar um segredo do cliente
Crie um segredo de cliente para o aplicativo registrado. O aplicativo usa o segredo do cliente para provar sua identidade quando solicita tokens.
- Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
- Em Gerenciar, selecione Certificados & segredos.
- Selecione Novo segredo do cliente.
- Na caixa Descrição, insira uma descrição para o segredo do cliente (por exemplo, segredo do cliente do aplicativo ciam).
- Em Expira, selecione uma duração para a qual o segredo é válido (de acordo com as regras de segurança da sua organização) e, em seguida, selecione Adicionar.
- Registre o valor do segredo. Você usará esse valor para configuração em uma etapa posterior. O valor secreto não será exibido novamente e não poderá ser recuperado por nenhum meio, depois que você navegar para longe dos Certificados e segredos. Certifique-se de gravá-lo.
Registrar um aplicativo de autenticação nativo
Para permitir que seu aplicativo entre usuários com o Microsoft Entra, a ID Externa do Microsoft Entra deve estar ciente do aplicativo criado. O registo da aplicação estabelece uma relação de confiança entre a aplicação e o Microsoft Entra. Quando você registra um aplicativo, o ID externo gera um identificador exclusivo conhecido como ID do aplicativo (cliente), um valor usado para identificar seu aplicativo ao criar solicitações de autenticação.
As etapas a seguir mostram como registrar seu aplicativo no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Registros do aplicativo Identity>Applications>.
Selecione + Novo registo.
Na página Registar uma candidatura que aparece;
- Insira um Nome de aplicativo significativo que é exibido para os usuários do aplicativo, por exemplo, ciam-client-app.
- Em Tipos de conta suportados, selecione Contas somente neste diretório organizacional.
Selecione Registar.
O painel Visão geral do aplicativo é exibido após o registro bem-sucedido. Registre o ID do aplicativo (cliente) a ser usado no código-fonte do aplicativo.
Conceder consentimento do administrador
Na página Registros de aplicativos, selecione o aplicativo que você criou (como ciam-client-app) para abrir a página Visão geral.
Em Gerenciar, selecione Permissões de API. Na lista Permissões configuradas, seu aplicativo recebeu a permissão User.Read. No entanto, como o locatário é um locatário externo, os próprios usuários consumidores não podem consentir com essa permissão. Você, como administrador, deve consentir com essa permissão em nome de todos os usuários no locatário:
- Selecione Conceder consentimento de administrador para <o nome> do seu inquilino e, em seguida, selecione Sim.
- Selecione Atualizar e verifique se Concedido para <o nome> do locatário aparece em Status para ambos os escopos.
Habilitar fluxos de autenticação nativa e de cliente público
Para especificar que este aplicativo é um cliente público e pode usar autenticação nativa, habilite o cliente público e os fluxos de autenticação nativa:
- Na página de registros de aplicativos, selecione o registro do aplicativo para o qual você deseja habilitar fluxos de autenticação nativa e de cliente público.
- Em Gerir, selecione Autenticação.
- Em Configurações avançadas, permita fluxos de clientes públicos:
- Em Ativar os seguintes fluxos móveis e de desktop, selecione Sim.
- Em Habilitar autenticação nativa, selecione Sim.
- Selecione o botão Salvar .
Depois de registrar um novo aplicativo, você pode encontrar a ID do aplicativo (cliente) na visão geral no centro de administração do Microsoft Entra.
Locatários da força de
trabalho Locatários externos (saiba mais)
