Настройка доступа приложений к собраниям по сети

Вы можете использовать API облачных коммуникаций в Microsoft Graph для настройки политики доступа к приложениям, которая позволяет приложениям получать доступ к собраниям по сети от имени пользователя.

В некоторых случаях, например для фоновых служб или управляющих приложений, которые выполняются на сервере без вошедшего пользователя, приложение может вызывать Microsoft Graph для выполнения действий от имени пользователя. Например, приложению может потребоваться вызвать Microsoft Graph, чтобы запланировать несколько собраний на основе опубликованных расписаний (например, курсов) или внешних средств планирования. В таких случаях в качестве организатора собрания определяется пользователь, от имени которых выступает приложение.

Администраторы, которые хотят разрешить приложению доступ к ресурсам собраний по сети от имени пользователя, могут использовать командлеты PowerShell New-CsApplicationAccessPolicy и Grant-CsApplicationAccessPolicy для настройки управления доступом.

В этой статье описаны основные действия, которые необходимо выполнить для настройки политики доступа приложения. Эти действия относятся к собраниям по сети и не применяются к другим ресурсам Microsoft Graph.

Настройка политики доступа к приложениям

Чтобы настроить политику доступа к приложениям и разрешить приложениям доступ к собраниям по сети с разрешениями приложений:

1. Определите идентификатор приложения (клиента) и идентификаторы пользователей, от имени которых приложение будет иметь право на доступ к собраниям по сети.

   • Определите идентификатор приложения (клиента) на портале регистрации приложений Azure.
   • Определение идентификатора пользователя (объекта) на портале управления пользователями Azure

2. Подключитесь к Skype для бизнеса PowerShell с помощью учетной записи администратора. Дополнительные сведения см. в статье Управление Skype для бизнеса Online с помощью PowerShell.

3. Создайте политику доступа к приложениям, содержащую список идентификаторов приложений.

   Выполните следующий командлет, заменив аргументы Identity, AppIds и Description (необязательно).

   New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
   

4. Предоставьте политику пользователю, чтобы идентификаторы приложений, содержащиеся в политике, могли получать доступ к собраниям по сети от имени предоставленного пользователя.

   Выполните следующий командлет, заменив аргументы PolicyName и Identity .

   Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"
   

5. (Необязательно) Предоставьте политику всему клиенту. Это относится к пользователям, которым не назначена политика доступа к приложениям. Дополнительные сведения см. по ссылкам на командлеты в разделе см. также .

   Выполните следующий командлет, заменив аргумент PolicyName .

   Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
   

Примечание.

• Удостоверение ссылается на имя политики при создании политики, но на идентификатор пользователя при предоставлении политики.
• Изменения в политиках доступа к приложениям могут входить в силу в вызовах REST API Microsoft Graph до 30 минут.

Поддерживаемые разрешения и дополнительные ресурсы

Администраторы могут использовать командлеты ApplicationAccessPolicy для управления доступом к собраниям по сети для приложения, которому предоставлены любые из следующих разрешений приложения:

• OnlineMeetings.Read.All
• OnlineMeetings.ReadWrite.All
• OnlineMeetingArtifact.Read.All

Дополнительные сведения о настройке политики доступа приложения см. в справочнике по командлету PowerShell New-ApplicationAccessPolicy.

Ошибки

При отказе в доступе к вызову API может возникнуть следующая ошибка из-за того, что приложение пытается получить доступ к собранию по сети, если политика доступа к приложению не настроена.

{
    "error": {
        "code": "Unauthorized",
        "message": "App <app_ID_redacted> is not authorized to Create meeting on behalf of user <user_ID_redacted>",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Выполните действия, описанные в этой статье, чтобы создать и (или) предоставить политику доступа к приложениям, содержащую идентификатор приложения для идентификатора пользователя.

См. также

• Справочник по разрешениям
• New-CsApplicationAccessPolicy
• Grant-CsApplicationAccessPolicy
• Get-CsApplicationAccessPolicy
• Set-CsApplicationAccessPolicy
• Remove-CsApplicationAccessPolicy
• Общие сведения об API Teams