使用英语阅读

通过


Microsoft Graph Data Connect 应用授权

Microsoft 365 管理中心内置了 Microsoft Graph Data Connect 应用的授权体验。 只有全局管理员可以授权 Data Connect 应用程序。 若要为组织授权应用,全局管理员可以转到 Microsoft Graph Data Connect 授权门户,在“组织设置”中选择“安全 & 隐私”选项卡,然后选择“Microsoft Graph Data Connect 应用程序”,如下图所示。

屏幕截图,其中突出显示了“组织设置”、“安全 & 隐私”选项卡和Microsoft Graph Data Connect 应用。

应用摘要视图

Data Connect 应用程序门户的登陆页提供了你可能感兴趣的所有数据连接应用程序的快速视图,如下图所示。

数据连接门户中应用的快速视图的屏幕截图。

可以在门户中找到以下类型的应用程序:

  • 单租户应用 - 在租户中注册且需要访问数据的应用程序。 这些应用通常是企业方案。
  • 多租户应用程序 - 托管在另一个租户中,需要从租户访问数据的应用程序。 这些应用通常是独立软件供应商, (ISV) 方案。 请仔细查看这些应用。 授权多租户应用时,可将租户中的数据迁移到应用开发人员的租户。

默认情况下,所有单租户应用都填充在表中。 表中仅包含已批准、拒绝或过期的多租户应用。 表中可能显示了以下状态的其他应用:

  • 挂起的授权 - 正在挂起操作的应用。 此状态仅适用于单租户应用。 处于此状态的应用在运行时始终失败。
  • 已批准 - 管理员批准访问租户Microsoft 365 数据的应用。
  • 拒绝 — 管理员拒绝访问租户Microsoft 365 数据的应用。 处于此状态的应用在运行时始终失败。
  • 已过期 - 管理员批准访问租户Microsoft 365 数据但批准已过期的应用。 处于此状态的应用在运行时始终失败。
  • 更新可用 - 管理员以前查看并处理过但现已更新的应用。 处于此状态的应用将继续按照以前的授权工作。 当管理员提供新的审批时,应用的新定义将覆盖旧定义。

应用详细信息视图

从表中选择应用以启动应用详细信息视图,该视图提供有关应用所需的数据的详细信息。 此向导体验将引导你完成相关的数据访问详细信息。 完成向导后,可以在最后批准或拒绝应用。 下图显示了应用详细信息视图。

显示 Data Connect 门户中的应用详细信息视图的屏幕截图。

首先,向导显示有关应用程序的概述信息:

  • 开发人员 - 注册应用程序的开发人员的用户名。

  • 数据目标 — 传递数据的接收器。 如果获得批准,此应用可以将请求的数据移动到列出的接收器中的任何位置。

  • 应用发布者 - 注册应用Microsoft Entra租户 ID。 对于单租户应用,此值与租户Microsoft Entra租户 ID 相同。

接下来,向导包括多个数据集步骤,每个在应用中注册的数据集一个步骤。 每个页面显示每个数据集的相关信息。 例如:

  • - 指定应用打算通过 Data Connect 提取的列。 如果获得批准,此应用可以提取指定数据集的已批准列的任何子集。

  • 范围 - 指定应用打算通过 Data Connect 提取) 用户选择 (范围。 有关范围的详细信息,请参阅 使用 Microsoft Graph 数据连接定义数据集的范围

有关授权在不同范围的工作方式的详细信息,请参阅 管道运行时期间的授权验证

显示 Data Connect 门户中的授权验证评审页的屏幕截图。

最后,向导将确认应用上的一些关键信息,供你查看。 可以选择“批准”、“拒绝”“取消”。 对应用的操作是全部操作或完全不执行任何操作。 授权应用意味着你正在授权前面步骤中指定的所有访问权限。

审批的有效期为 180 天,此后被视为 “已过期”。 若要续订审批,管理员可以在Microsoft 365 管理中心中重新访问应用程序的详细信息,并在 180 天内批准授权。 若要撤销审批,管理员还可以访问拒绝应用程序授权Microsoft 365 管理中心。

授权应用时,可能会遇到以下错误消息:

  • App approver and owner cannot be the same user.
  • App registration not found. It is possible someone deleted this app.

如果发生意外错误,错误消息将包含错误代码。 请记下此错误代码,以便与Microsoft支持人员共享。

发现多租户应用程序

若要发现多租户应用程序,请选择应用摘要表上方的“ 添加新的多租户 应用”。 如果为租户启用了跨租户数据迁移,则会看到两个文本框。 输入应用程序 ID 和租户 ID 后,选择“ 查找”,门户将启动要搜索的应用的应用详细信息视图。

显示用于在 Data Connect 门户中添加多租户应用的页面的屏幕截图。

Microsoft 365 个审核日志

Microsoft Graph Data Connect 应用授权体验与 365 Microsoft审核日志集成。 当管理员批准或拒绝数据连接应用程序时,可审核事件将发出Microsoft 365 审核日志,其中包含有关批准或拒绝的相关数据。 使用以下任一字段搜索 Data Connect 授权事件的审核日志:

  • 工作负载 - MicrosoftGraphDataConnect

  • 记录类型 - MicrosoftGraphDataConnectConsent

  • 活动 - 已批准或拒绝应用 (Microsoft Graph Data Connect 活动)

显示Microsoft 365 审核日志示例页的屏幕截图。

管道运行时期间的授权验证

在运行时,Data Connect 针对租户中的所有授权验证传入请求。 如果找到匹配的授权,作业将继续。 如果未发现授权,作业将失败。 等待授权时,数据连接不再停滞 ConsentPending 。 如果授权验证失败,则会收到一条特定错误消息,说明作业为何无法匹配现有应用授权。

在运行时期间应用的授权验证包括:

  • 传入请求的应用程序 ID 与授权的应用匹配。
  • 找到的应用授权已获批准。
  • 传入请求的应用程序租户 ID 与找到的应用授权的应用注册租户 ID 匹配。
  • 传入请求的数据集是找到的应用授权中的数据集之一。
  • 传入请求中的列是已为请求的数据集授权的列的子集。
  • 目标租户 ID 与找到的应用授权的目标租户 ID 匹配。
  • 传入请求的目标位置包含在找到的应用授权中的目标接收器中。
  • 传入请求的范围与找到的应用授权中的范围一致。
    • 如果应用已获得租户中所有用户/组的授权,则任何范围都会通过此验证。
    • 如果应用已获得组列表的授权,则授权组的任何子集都会通过此验证。
    • 如果应用已获得范围筛选器 URI 的授权,则传入请求必须与授权值完全匹配。