Aracılığıyla paylaş

Bir uygulamaya kiracı genelinde yönetici onayı verin.

Bu makalede, Microsoft Entra Id'de bir uygulamaya kiracı genelinde yönetici onayı verme hakkında bilgi edineceksiniz. Bireysel kullanıcı onayı ayarlarını yapılandırmayı anlamak için bkz . Son kullanıcıların uygulamalara nasıl onay vereceğini yapılandırma.

Bir uygulamaya kiracı genelinde yönetici onayı verdiğinizde, uygulamaya kuruluşun tamamı adına istenen izinlere erişim vermiş olursunuz. Kuruluş adına yönetici onayı vermek hassas bir işlemdir ve uygulamanın yayımcısının kuruluşunuzun verilerinin önemli bölümlerine erişmesine veya yüksek ayrıcalıklı işlemler yapma izni vermesine olanak tanır. Bu tür işlemlere örnek olarak rol yönetimi, tüm posta kutularına veya tüm sitelere tam erişim ve tam kullanıcı kimliğine bürünme verilebilir. Bu nedenle, onay vermeden önce uygulamanın istediği izinleri dikkatle gözden geçirmeniz gerekir.

Varsayılan olarak, bir uygulamaya kiracı genelinde yönetici onayı verilmesi, aksi kısıtlanmadığı sürece tüm kullanıcıların uygulamaya erişmesine olanak tanır. Bir uygulamada hangi kullanıcıların oturum açabileceğini kısıtlamak için, uygulamayı kullanıcı ataması gerektirecek şekilde yapılandırın ve ardından uygulamaya kullanıcı veya grup atayın.

Önemli

Kiracı genelinde yönetici onayı vermek, bu uygulama için kiracı genelinde zaten verilmiş olan izinleri iptal edebilir. Kullanıcıların kendi adına zaten vermiş oldukları izinler etkilenmez.

Önkoşullar

Kiracı genelinde yönetici onayı verme işlemi, kuruluş adına onay verme yetkisi olan bir kullanıcı olarak oturum açmanızı gerektirir.

Kiracı genelinde yönetici onayı vermek için şunları yapmanız gerekir:

  • Aşağıdaki rollerden birine sahip bir Microsoft Entra kullanıcı hesabı:

    • Ayrıcalıklı Rol Yöneticisi, herhangi bir API için herhangi bir izin isteyen uygulamalar için onay vermekten sorumludur.
    • Bulut Uygulaması Yöneticisi, AI Yöneticisi veya Uygulama Yöneticisi, Microsoft Graph uygulama rolleri (uygulama izinleri) hariç, herhangi bir API için herhangi bir izin isteyen uygulamalar için onay vermek için.
    • Uygulamanın gerektirdiği izinler için uygulamalara izin verme iznini içeren özel dizin rolü.

Uygulama kiracınız içinde zaten sağlanmışsa, Kurumsal uygulamalar bölmesi aracılığıyla kiracı genelinde yönetici onayı verebilirsiniz. Örneğin, en az bir kullanıcı uygulamaya onay verirse kiracınızda bir uygulama sağlanabilir. Daha fazla bilgi için bkz . Uygulamaların Microsoft Entra Id'ye nasıl ve neden eklendiği.

Kurumsal uygulamalar bölmesinde listelenen bir uygulamaya kiracı genelinde yönetici onayı vermek için:

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Entra ID>Kurumsal uygulamalar>Tüm uygulamalar bölümüne göz atın.
  3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
  4. Güvenlik altında İzinler'i seçin. Kiracı genelinde yönetici onayı verme adımlarını gösteren ekran görüntüsü.
  5. Uygulamanın gerektirdiği izinleri dikkatle gözden geçirin. Uygulamanın gerektirdiği izinleri kabul ediyorsanız Yönetici onayını verin'i seçin.

Kuruluşunuzun geliştirdiği ve doğrudan Microsoft Entra kiracınıza kaydettiği uygulamalar için Microsoft Entra yönetim merkezinde Uygulama kayıtları bölümünden kiracı genelinde yönetici onayı verebilirsiniz.

Kiracı genelinde yönetici onayını vermek için Uygulama kayıtları:

  1. Microsoft Entra yönetim merkezinde Entra ID>Uygulama kayıtları>Tüm uygulamalar'a göz atın.
  2. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
  3. Seçenekler arasından API izinleri'ni, Yönet başlığı altında seçin.
  4. Uygulamanın gerektirdiği izinleri dikkatle gözden geçirin. Kabul ediyorsanız Yönetici onayı ver'i seçin.

Önceki bölümde açıklanan yöntemlerden birini kullanarak kiracı genelinde yönetici onayı verdiğinizde, Microsoft Entra yönetim merkezinden kiracı genelinde yönetici onayı isteme penceresi açılır. Uygulamanın istemci kimliğini (uygulama kimliği olarak da bilinir) biliyorsanız, kiracı genelinde yönetici onayı vermek için aynı URL'yi oluşturabilirsiniz.

Kiracı genelinde yönetici onayı URL'si aşağıdaki biçimi izler:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

Nerede:

  • {client-id} uygulamanın istemci kimliğidir (uygulama kimliği olarak da bilinir).
  • {organization} kiracı kimliği veya uygulamayı onaylamak istediğiniz kiracının doğrulanmış etki alanı adıdır. Onayın oturum açtığınız kullanıcının ev kiracısında gerçekleşmesine neden olan değeri organizationskullanabilirsiniz.

Her zaman olduğu gibi, onay vermeden önce bir uygulamanın istediği izinleri dikkatle gözden geçirin.

Kiracı genelinde yönetici onayı URL'sini oluşturma hakkında daha fazla bilgi için Microsoft kimlik platformunda yönetici onayı bölümüne bakın.

Bu bölümde, uygulamanıza temsilci izinleri verirsiniz. Temsilci izinleri, uygulamanızın oturum açmış bir kullanıcı adına bir API'ye erişmesi için gereken izinlerdir. İzinler bir kaynak API'si tarafından tanımlanır ve istemci uygulaması olan kurumsal uygulamanıza verilir. Bu onay tüm kullanıcılar adına verilir.

Aşağıdaki örnekte, kaynak API'si nesne kimliğinin aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbMicrosoft Graph'ıdır. Microsoft Graph API, User.Read.Allve Group.Read.Alltemsilci izinlerini tanımlar. consentType, AllPrincipalskiracıdaki tüm kullanıcılar adına onay verdiğinizi belirtir. İstemci kurumsal uygulamasının nesne kimliği şeklindedir aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

Dikkat

Dikkat et! Program aracılığıyla verilen izinler gözden geçirme veya onaya tabi değildir. Hemen yürürlüğe girecekler.

  1. Microsoft Graph PowerShell'e bağlanın ve en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"

  2. Kiracı uygulamanızda Microsoft graph (kaynak uygulaması) tarafından tanımlanan tüm temsilci izinlerini alın. İstemci uygulamasına vermeniz gereken yetkilendirilmiş izinleri belirleyin. Bu örnekte delege etme izinleri User.Read.All ve Group.Read.All şeklindedir.

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl

  3. Aşağıdaki isteği çalıştırarak istemci kurumsal uygulamasına temsilci izinleri verin.

    $params = @{

"ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444"
"ConsentType" = "AllPrincipals"
"ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
"Scope" = "User.Read.All Group.Read.All"
}

New-MgOauth2PermissionGrant -BodyParameter $params | 
Format-List Id, ClientId, ConsentType, ResourceId, Scope

  4. Aşağıdaki isteği çalıştırarak tüm kiracı için yönetici onayı verdiğinizi onaylayın.

 Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'"

Bu bölümde, kurumsal uygulamanıza uygulama izinleri verirsiniz. Uygulama izinleri, uygulamanızın bir kaynak API'sine erişmesi için gereken izinlerdir. İzinler kaynak API'sine göre tanımlanır ve asıl uygulama olan kurumsal uygulamanıza verilir. Uygulamanıza kaynak API'sine erişim verdikten sonra, oturum açmış bir kullanıcı olmadan arka plan hizmeti veya daemon olarak çalışır. Uygulama izinleri, uygulama rolleri olarak da bilinir.

Aşağıdaki örnekte, Microsoft Graph uygulamasına (kimlik aaaaaaaa-bbbb-cccc-1111-222222222222sorumlusu) kimlik kaynak API'si df021288-bdef-4463-88db-98f22de89214tarafından kullanıma sunulan bir kimlik 11112222-bbbb-3333-cccc-4444dddd5555 uygulama rolü (uygulama izni) verirsiniz.

  1. Microsoft Graph PowerShell'e bağlanın ve en azından Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

  2. Kiracınızdaki Microsoft Graph tarafından tanımlanan uygulama rollerini alın. Müşteri kurumsal uygulamasına erişim vereceğiniz uygulama rolünü belirleyin. Bu örnekte, uygulama rolü kimliği şeklindedir df021288-bdef-4463-88db-98f22de89214.

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl

  3. Aşağıdaki isteği çalıştırarak uygulama iznini (uygulama rolü) asıl uygulamaya verin.

 $params = @{
  "PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
  "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Hem temsilci hem de uygulama izinleri vermek için Graf Gezgini'ni kullanın.

Bu bölümde, uygulamanıza temsilci izinleri verirsiniz. Temsilci izinleri, uygulamanızın oturum açmış bir kullanıcı adına bir API'ye erişmesi için gereken izinlerdir. İzinler bir kaynak API'si tarafından tanımlanır ve istemci uygulaması olan kurumsal uygulamanıza verilir. Bu onay tüm kullanıcılar adına verilir.

En azından Bulut Uygulaması Yöneticisi olarak oturum açmanız gerekir.

Aşağıdaki örnekte, kaynak API'si nesne kimliğinin aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbMicrosoft Graph'ıdır. Microsoft Graph API, User.Read.All ve Group.Read.All olmak üzere temsilci izinlerini tanımlar. consentType, AllPrincipalskiracıdaki tüm kullanıcılar adına onay verdiğinizi belirtir. İstemci kurumsal uygulamasının nesne kimliği şeklindedir aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

Dikkat

Dikkat et! Program aracılığıyla verilen izinler gözden geçirilmeye veya onaya tabi değildir. Hemen yürürlüğe girecekler.

  1. Kiracı uygulamanızda Microsoft graph (kaynak uygulaması) tarafından tanımlanan tüm temsilci izinlerini alın. İstemci uygulamasına vermeniz gereken yetkilendirilmiş izinleri belirleyin. Bu örnekte delege etme izinleri User.Read.All ve Group.Read.All şeklindedir.

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes

  2. Aşağıdaki isteği çalıştırarak istemci kurumsal uygulamasına temsilci izinleri verin.

    POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants

Request body
{
   "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
   "consentType": "AllPrincipals",
   "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "scope": "User.Read.All Group.Read.All"
}

  3. Aşağıdaki isteği çalıştırarak tüm kiracı için yönetici onayı verdiğinizi onaylayın.

    GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'

Bu bölümde, kurumsal uygulamanıza uygulama izinleri verirsiniz. Uygulama izinleri, uygulamanızın bir kaynak API'sine erişmesi için gereken izinlerdir. İzinler kaynak API'sine göre tanımlanır ve asıl uygulama olan kurumsal uygulamanıza verilir. Uygulamanıza kaynak API'sine erişim verdikten sonra, oturum açmış bir kullanıcı olmadan arka plan hizmeti veya daemon olarak çalışır. Uygulama izinleri, uygulama rolleri olarak da bilinir.

Aşağıdaki örnekte, kimliği 00001111-aaaa-2222-bbbb-3333cccc4444 olan Microsoft Graph uygulamasına, kimliği df021288-bdef-4463-88db-98f22de89214 olan kaynak kurumsal uygulaması tarafından kullanıma sunulan kimliği 11112222-bbbb-3333-cccc-4444dddd5555 olan bir uygulama rolü (uygulama izni) verirsiniz.

En azından Ayrıcalıklı Rol Yöneticisi olarak oturum açmanız gerekir.

  1. Kiracınızdaki Microsoft Graph tarafından tanımlanan uygulama rollerini alın. Müşteri kurumsal uygulamasına erişim vereceğiniz uygulama rolünü belirleyin. Bu örnekte, uygulama rolü kimliği şu şekildedir: df021288-bdef-4463-88db-98f22de89214

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles

  2. Aşağıdaki isteği çalıştırarak uygulama iznini (uygulama rolü) asıl uygulamaya verin.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo

Request body

{
   "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
   "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
}

Sonraki adımlar

  • Last updated on