Dela via


Bevilja administratörsmedgivande för hela klientorganisationen till ett program

I den här artikeln får du lära dig hur du beviljar administratörsmedgivande för hela klientorganisationen till ett program i Microsoft Entra-ID. Information om hur du konfigurerar inställningar för individuellt användarmedgivande finns i Konfigurera hur slutanvändare godkänner program.

När du beviljar administratörsmedgivande för hela klientorganisationen till ett program ger du programmet åtkomst till de behörigheter som begärts för hela organisationens räkning. Att bevilja administratörsmedgivande för en organisations räkning är en känslig åtgärd, vilket kan ge programmets utgivare åtkomst till betydande delar av organisationens data eller behörighet att utföra mycket privilegierade åtgärder. Exempel på sådana åtgärder kan vara rollhantering, fullständig åtkomst till alla postlådor eller alla webbplatser och fullständig användarpersonifiering. Därför måste du noggrant granska de behörigheter som programmet begär innan du beviljar medgivande.

Som standard tillåter beviljande av administratörsmedgivande för hela klientorganisationen till ett program att alla användare får åtkomst till programmet om inget annat är begränsat. Om du vill begränsa vilka användare som kan logga in på ett program konfigurerar du appen så att den kräver användartilldelning och tilldelar sedan användare eller grupper till programmet.

Viktigt!

Om du beviljar administratörsmedgivande för hela klientorganisationen kan du återkalla behörigheter som redan har beviljats hela klientorganisationen för programmet. Behörigheter som användarna redan har beviljat för egen räkning påverkas inte.

Förutsättningar

Om du vill bevilja administratörsmedgivande för hela klientorganisationen måste du logga in som en användare med behörighet att godkänna för organisationens räkning.

Om du vill bevilja administratörsmedgivande för hela klientorganisationen behöver du:

  • Ett Microsoft Entra-användarkonto med någon av följande roller:

    • Privilegierad rolladministratör för att bevilja medgivande för appar som begär behörighet för alla API:er.
    • Molnprogramadministratör eller programadministratör för att bevilja medgivande för appar som begär behörighet för alla API:er, förutom Microsoft Graph-approller (programbehörigheter).
    • En anpassad katalogroll som innehåller behörighet att bevilja behörigheter till program för de behörigheter som krävs av programmet.

Du kan bevilja administratörsmedgivande för hela klientorganisationen via fönstret Företagsprogram om programmet redan har etablerats i din klientorganisation. En app kan till exempel etableras i din klientorganisation om minst en användare redan har gett sitt medgivande till programmet. Mer information finns i Hur och varför program läggs till i Microsoft Entra-ID.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här beviljar du administratörsmedgivande för hela klientorganisationen till en app som anges i fönstret Företagsprogram :

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
  3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.
  4. Välj Behörigheter under Säkerhet. Skärmbild som visar hur du beviljar administratörsmedgivande för hela klientorganisationen.
  5. Granska noggrant de behörigheter som programmet kräver. Om du godkänner de behörigheter som programmet kräver väljer du Bevilja administratörsmedgivande.

Du kan bevilja administratörsmedgivande för hela klientorganisationen från Appregistreringar i administrationscentret för Microsoft Entra för program som din organisation har utvecklat och registrerat direkt i din Microsoft Entra-klientorganisation.

Så här beviljar du administratörsmedgivande för hela klientorganisationen från Appregistreringar:

  1. I administrationscentret för Microsoft Entra bläddrar du till Identitetsprogram>> Appregistreringar> Alla program.
  2. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.
  3. Välj API-behörigheter under Hantera.
  4. Granska noggrant de behörigheter som programmet kräver. Om du godkänner väljer du Bevilja administratörsmedgivande.

När du beviljar administratörsmedgivande för hela klientorganisationen med någon av metoderna som beskrivs i föregående avsnitt öppnas ett fönster från administrationscentret för Microsoft Entra för att fråga efter administratörsmedgivande för hela klientorganisationen. Om du känner till programmets klient-ID (även kallat program-ID), kan du skapa samma URL för att bevilja ett administratörsmedgivande för hela klientorganisationen.

URL:en för hela klientorganisationens administratörsmedgivande har följande format:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

där:

  • {client-id} är programmets klient-ID (även kallat app-ID).
  • {organization} är klientorganisations-ID:t eller ett verifierat domännamn för den klientorganisation som du vill godkänna programmet i. Du kan använda det värde organizationssom gör att medgivandet sker i hemklientorganisationen för den användare som du loggar in med.

Granska alltid noggrant de behörigheter som ett program begär innan du beviljar medgivandet.

Mer information om hur du skapar url:en för administratörsmedgivande för hela klientorganisationen finns i Administratörsmedgivande för Microsofts identitetsplattform.

I det här avsnittet beviljar du delegerade behörigheter till ditt program. Delegerade behörigheter är behörigheter som ditt program behöver för att få åtkomst till ett API för en inloggad användare. Behörigheterna definieras av ett resurs-API och beviljas till ditt företagsprogram, som är klientprogrammet. Det här medgivandet beviljas för alla användares räkning.

I följande exempel är resurs-API:et Microsoft Graph för objekt-ID 11112222-bbbb-3333-cccc-4444dddd5555. Microsoft Graph API definierar de delegerade behörigheterna User.Read.All och Group.Read.All. ConsentType är AllPrincipals, som anger att du godkänner för alla användare i klientorganisationen. Objekt-ID:t för klientföretagsprogrammet är 00001111-aaaa-2222-bbbb-3333cccc4444.

Varning

Var försiktig! Behörigheter som beviljas programmatiskt kan inte granskas eller bekräftas. De träder i kraft omedelbart.

  1. Anslut till Microsoft Graph PowerShell och logga in som minst en Molnprogramadministratör.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
    
  2. Hämta alla delegerade behörigheter som definierats av Microsoft Graph (resursprogrammet) i klientprogrammet. Identifiera de delegerade behörigheter som du behöver för att bevilja klientprogrammet. I det här exemplet är User.Read.All delegeringsbehörigheterna och Group.Read.All

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
    
  3. Bevilja delegerade behörigheter till klientföretagsprogrammet genom att köra följande begäran.

    $params = @{
    
    "ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444"
    "ConsentType" = "AllPrincipals"
    "ResourceId" = "11112222-bbbb-3333-cccc-4444dddd5555"
    "Scope" = "User.Read.All Group.Read.All"
    }
    
    New-MgOauth2PermissionGrant -BodyParameter $params | 
    Format-List Id, ClientId, ConsentType, ResourceId, Scope
    
  4. Bekräfta att du har beviljat administratörsmedgivande för hela klientorganisationen genom att köra följande begäran.

 Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'" 

I det här avsnittet beviljar du programbehörigheter till ditt företagsprogram. Programbehörigheter är behörigheter som ditt program behöver för att få åtkomst till ett resurs-API. Behörigheterna definieras av resurs-API:et och beviljas till ditt företagsprogram, som är huvudprogrammet. När du har beviljat ditt program åtkomst till resurs-API:et körs det som en bakgrundstjänst eller daemon utan en inloggad användare. Programbehörigheter kallas även för approller.

I följande exempel beviljar du Microsoft Graph-programmet (ID aaaaaaaa-bbbb-cccc-1111-222222222222:ts huvudnamn ) en approll (programbehörighet) för ID df021288-bdef-4463-88db-98f22de89214 som exponeras av ett resurs-API med ID 11112222-bbbb-3333-cccc-4444dddd5555.

  1. Anslut till Microsoft Graph PowerShell och logga in som minst en Privilegierad rolladministratör.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
    
  2. Hämta approllerna som definierats av Microsoft Graph i din klientorganisation. Identifiera den approll som du behöver för att bevilja klientföretagsprogrammet. I det här exemplet är df021288-bdef-4463-88db-98f22de89214approllens ID .

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
    
  3. Bevilja programbehörigheten (approllen) till huvudprogrammet genom att köra följande begäran.

 $params = @{
  "PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
  "ResourceId" = "11112222-bbbb-3333-cccc-4444dddd5555"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Använd Graph Explorer för att bevilja både delegerade behörigheter och programbehörigheter.

I det här avsnittet beviljar du delegerade behörigheter till ditt program. Delegerade behörigheter är behörigheter som ditt program behöver för att få åtkomst till ett API för en inloggad användare. Behörigheterna definieras av ett resurs-API och beviljas till ditt företagsprogram, som är klientprogrammet. Det här medgivandet beviljas för alla användares räkning.

Du måste logga in som minst molnprogramadministratör.

I följande exempel är resurs-API:et Microsoft Graph för objekt-ID 11112222-bbbb-3333-cccc-4444dddd5555. Microsoft Graph API definierar de delegerade behörigheterna User.Read.All och Group.Read.All. ConsentType är AllPrincipals, som anger att du godkänner för alla användare i klientorganisationen. Objekt-ID:t för klientföretagsprogrammet är 00001111-aaaa-2222-bbbb-3333cccc4444.

Varning

Var försiktig! Behörigheter som beviljas programmatiskt kan inte granskas eller bekräftas. De träder i kraft omedelbart.

  1. Hämta alla delegerade behörigheter som definierats av Microsoft Graph (resursprogrammet) i klientprogrammet. Identifiera de delegerade behörigheter som du behöver för att bevilja klientprogrammet. I det här exemplet är User.Read.All delegeringsbehörigheterna och Group.Read.All

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes
    
  2. Bevilja delegerade behörigheter till klientföretagsprogrammet genom att köra följande begäran.

    POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants
    
    Request body
    {
       "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "consentType": "AllPrincipals",
       "resourceId": "11112222-bbbb-3333-cccc-4444dddd5555",
       "scope": "User.Read.All Group.Read.All"
    }
    
  3. Bekräfta att du har beviljat administratörsmedgivande för hela klientorganisationen genom att köra följande begäran.

    GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'
    

I det här avsnittet beviljar du programbehörigheter till ditt företagsprogram. Programbehörigheter är behörigheter som ditt program behöver för att få åtkomst till ett resurs-API. Behörigheterna definieras av resurs-API:et och beviljas till ditt företagsprogram, som är huvudprogrammet. När du har beviljat ditt program åtkomst till resurs-API:et körs det som en bakgrundstjänst eller daemon utan en inloggad användare. Programbehörigheter kallas även för approller.

I följande exempel beviljar du programmet, Microsoft Graph (huvudnamn för ID 00001111-aaaa-2222-bbbb-3333cccc4444) en approll (programbehörighet) för ID df021288-bdef-4463-88db-98f22de89214 som exponeras av ett resursföretagsprogram med ID 11112222-bbbb-3333-cccc-4444dddd5555.

Du måste signera som minst en privilegierad rolladministratör.

  1. Hämta approllerna som definierats av Microsoft Graph i din klientorganisation. Identifiera den approll som du behöver för att bevilja klientföretagsprogrammet. I det här exemplet är approll-ID:t df021288-bdef-4463-88db-98f22de89214

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles
    
  2. Bevilja programbehörigheten (approllen) till huvudprogrammet genom att köra följande begäran.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo
    
    Request body
    
    {
       "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
       "resourceId": "11112222-bbbb-3333-cccc-4444dddd5555",
       "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
    }
    

Nästa steg