管理对Microsoft Entra ID 保护的 API 的访问

当开发人员生成SharePoint 框架解决方案时，他们可能需要连接到通过Microsoft Entra ID 保护的 API。 开发人员可以指定其解决方案所需的Microsoft Entra应用程序和权限，管理员可以在 SharePoint 管理中心中管理来自 API 访问的权限请求。

详细了解如何构建连接到 Azure-AD 安全 API 的 SharePoint 框架 解决方案。

API 访问页显示挂起的请求和已批准的请求。 它还显示哪些请求适用于组织中任何SharePoint 框架组件或自定义脚本 (组织范围的) ，哪些请求仅适用于特定组件 (隔离) 。

注意

批准权限所需的管理员角色取决于 API。 若要批准对租户中注册的任何第三方 API 的权限， 应用程序管理员 角色就足够了。 若要批准 Microsoft Graph 或任何其他 Microsoft API 的权限，需要全局管理员角色。 API 访问页不适用于使用全局读取者角色登录的用户。

批准挂起的请求

1. 选择请求，然后选择“ 批准 ”以查看有关请求的详细信息。

2. 在 “批准访问” 面板中，选择“ 批准”。

   

   批准请求后，它会移动到“已批准的请求”列表。

   注意

   委托类型的权限将添加到 SharePoint Online 客户端扩展性 Web 应用程序主体Microsoft Entra ID。

   若要批准对已授予一些权限的资源发出的权限请求（例如，授予对 Microsoft Graph 的其他权限），请求获取的范围会被添加到之前授予的权限列表中。

拒绝挂起的请求

1. 选择请求，然后选择 “拒绝”。
2. 再次选择“ 拒绝 ”以确认。

拒绝访问不会从应用网站中删除应用。 如果应用在任何网站上使用，则可能无法按预期工作。 拒绝请求后，该请求将从页面中删除，开发人员需要发出具有相同资源和范围的新请求。

删除对以前批准的请求的访问权限

1. 选择请求，然后选择 “删除访问权限”。
2. 再次选择“ 删除 ”以确认。

删除访问权限时，依赖于权限的解决方案和自定义脚本可能无法按预期工作。 删除访问权限后，请求将从页面中删除，开发人员需要发出具有相同资源和范围的新请求。

使用 Microsoft PowerShell 管理访问权限

还可以使用 PowerShell 来管理权限请求。

• 若要查看挂起的请求，请使用 cmdlet Get-SPOTenantServicePrincipalPermissionRequests。
• 若要批准请求，请使用 cmdlet Approve-SPOTenantServicePrincipalPermissionRequest。
• 若要拒绝请求，请使用 cmdlet Deny-SPOTenantServicePrincipalPermissionRequest。
• 若要删除对以前批准的请求的访问权限，请使用 cmdlet Revoke-SPOTenantServicePrincipalPermission。