Настройка доступа приложений к собраниям по сети или виртуальным событиям

Чтобы приложения получают доступ к некоторым API-интерфейсам облачной коммуникации с разрешениями приложений, в дополнение к разрешениям приложений Microsoft Graph администраторы клиентов должны настроить политику доступа к приложениям. Дополнительные сведения см. в разделе Поддерживаемые разрешения приложений.

В следующих разделах описаны два сценария main, для которых требуется политика доступа к приложениям.

Разрешить приложениям доступ к собраниям по сети от имени пользователя

В некоторых случаях, таких как фоновые службы или управляющие приложения, запущенные на сервере без вошедшего пользователя, приложение может вызывать Microsoft Graph и выполнять действия от имени пользователя. Например, приложению может потребоваться, чтобы Microsoft Graph планировал несколько собраний на основе опубликованных расписаний (например, курсов) или внешних средств планирования. В таких ситуациях приложение может действовать от имени любого пользователя. Поэтому важно убедиться, что пользователь обладает необходимыми привилегиями, например организатором или соорганизатором, для доступа к собранию по сети.

Разрешить приложениям доступ к виртуальным событиям, созданным пользователем

В случаях, когда пользователь, выполнившего вход, не отображается, приложение может вызвать Microsoft Graph для доступа к виртуальному событию с помощью разрешений приложения. Например, приложение может вызвать Microsoft Graph для поиска виртуального события, созданного пользователем, или получения отчетов о посещаемости виртуального события, созданного пользователем, без использования делегированных разрешений этого пользователя. В таких случаях пользователь должен быть организатором этого виртуального события.

Выполните следующие действия, чтобы настроить политику доступа к приложениям для облачных информационных ресурсов, таких как онлайн-собрания и виртуальные события. Эти действия не применяются к другим ресурсам Microsoft Graph.

Сравнение политики доступа к приложениям для собраний по сети и виртуальных событий

В следующей таблице сравнивается политика доступа к приложениям для онлайн-собраний и виртуальных событий в различных сценариях с участием двух пользователей. В этих сценариях участвуют два пользователя (user_1 и user_2) и следующие политики доступа к приложениям:

• Policy_1 содержит один идентификатор приложения (app_1)
• Policy_2 содержит один идентификатор приложения (app_2)
• Policy_3) содержит идентификаторы приложений (app_1 и app_2).

Сценарий	Собрание по сети	Виртуальное событие
policy_1 назначается user_1, policy_2 назначается user_2	app_1 могут получать доступ только к собраниям по сети , как user_1 app_2 могут получать доступ только к собраниям по сети в user_2	app_1 могут получать доступ только к виртуальным событиям, созданным user_1 app_2 могут получать доступ только к виртуальным событиям, созданным user_2
policy_1 назначается user_1 и user_2	app_1 могут получать доступ к собраниям по сети как user_1 app_1 могут получать доступ к собраниям по сети как user_2	app_1 могут получать доступ к виртуальным событиям, созданным user_1 app_1 могут получать доступ к виртуальным событиям, созданным user_2
policy_3 назначается user_1, политика не назначается user_2	app_1 могут получать доступ к собранию по сети как user_1 и user_2 Ни в каких приложениях нет доступа к собранию по сети, как user_2	app_1 могут получать доступ к виртуальным событиям, созданным user_1 и user_2 Ни в каких приложениях нет доступа к виртуальным событиям, созданным user_2
policy_3 назначается всему клиенту	Как app_1 , так и app_2 могут получать доступ к собраниям по сети как user_1 или user_2	И app_1, и app_2 могут обращаться к виртуальным событиям, созданным user_1 или user_2

Настройка политики доступа к приложениям

Чтобы настроить политику доступа к приложениям и разрешить приложениям доступ к собраниям по сети с разрешениями приложений:

1. Определите идентификатор приложения (клиента) и идентификаторы пользователей, от имени которых приложение будет иметь право на доступ к собраниям по сети.

   • Определите идентификатор приложения (клиента) на странице регистрации приложений Центр администрирования Microsoft Entra>.
   • Определите идентификатор пользователя (объекта) на странице управления пользователями Центр администрирования Microsoft Entra>.

2. Подключитесь к Skype для бизнеса PowerShell с помощью учетной записи администратора. Дополнительные сведения см. в статье Управление Skype для бизнеса Online с помощью PowerShell.

3. Создайте политику доступа к приложениям, содержащую список идентификаторов приложений.

   Выполните следующий командлет, заменив аргументы Identity, AppIds и Description (необязательно).

   New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
   

4. Предоставьте пользователю политику, чтобы разрешить идентификаторам приложений, содержащимся в политике, доступ к 1) онлайн-собраниям от имени предоставленного пользователя и 2) виртуальным событиям, созданным предоставленным пользователем.

   Выполните следующий командлет, заменив аргументы PolicyName и Identity .

   Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"
   

5. (Необязательно) Предоставьте политику всему клиенту. Это будет применяться к пользователям, которым не назначена политика доступа к приложениям. Дополнительные сведения см. по ссылкам на командлеты в разделе Связанное содержимое .

   Выполните следующий командлет, заменив аргумент PolicyName .

   Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
   

Примечание.

• Удостоверение ссылается на имя политики при создании политики, но на идентификатор пользователя при предоставлении политики.
• При предоставлении политики она будет применяться как к онлайн-собраниям, так и к виртуальным событиям. Если вы предпочитаете управлять собраниями по сети и виртуальными событиями по отдельности, рекомендуется использовать два отдельных приложения.
• Изменения в политиках доступа к приложениям могут входить в силу в вызовах REST API Microsoft Graph до 30 минут.

Поддерживаемые разрешения и дополнительные ресурсы

Администраторы могут использовать командлеты ApplicationAccessPolicy для управления доступом к собраниям по сети и виртуальным событиям для приложения, которому предоставлены любые из следующих разрешений приложения:

• OnlineMeetings.Read.All
• OnlineMeetings.ReadWrite.All
• OnlineMeetingArtifact.Read.All
• OnlineMeetingTranscript.Read.All
• OnlineMeetingRecording.Read.All
• VirtualEvent.Read.All

Дополнительные сведения о настройке политики доступа приложения см. в справочнике по командлету PowerShell New-ApplicationAccessPolicy.

Ошибки

При попытке вызова API для доступа к собранию по сети или виртуальному событию без настройки политики доступа к приложениям может возникнуть следующая ошибка:

{
    "error": {
        "code": "Forbidden",
        "message": "No application access policy found for this app",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Выполните действия, описанные в этой статье, чтобы создать и (или) предоставить политику доступа к приложениям, содержащую идентификатор приложения для идентификатора пользователя.

Связанные материалы

• Справочник по разрешениям
• New-CsApplicationAccessPolicy
• Grant-CsApplicationAccessPolicy
• Get-CsApplicationAccessPolicy
• Set-CsApplicationAccessPolicy
• Remove-CsApplicationAccessPolicy
• Общие сведения об API Teams