Registrieren einer Microsoft Graph-AnwendungRegister a Microsoft Graph application

Mit Microsoft Graph können Sie viele der Ressourcen innerhalb Ihres Azure AD B2C-Mandanten verwalten, einschließlich der Benutzerkonten von Kunden und benutzerdefinierter Richtlinien.Microsoft Graph allows you to manage many of the resources within your Azure AD B2C tenant, including customer user accounts and custom policies. Durch das Schreiben von Skripts oder Anwendungen, die die Microsoft Graph-API aufrufen, können Sie Aufgaben zur Mandantenverwaltung wie die folgenden automatisieren:By writing scripts or applications that call the Microsoft Graph API, you can automate tenant management tasks like:

  • Migrieren eines vorhandenen Benutzerspeichers zu einem Azure AD B2C-MandantenMigrate an existing user store to an Azure AD B2C tenant
  • Bereitstellen benutzerdefinierter Richtlinien mit einer Azure-Pipeline in Azure DevOps und Verwalten von benutzerdefinierten RichtlinienschlüsselnDeploy custom policies with an Azure Pipeline in Azure DevOps, and manage custom policy keys
  • Hosten der Benutzerregistrierung auf Ihrer eigenen Seite und Erstellen von Benutzerkonten im Hintergrund im Azure AD B2C-VerzeichnisHost user registration on your own page, and create user accounts in your Azure AD B2C directory behind the scenes
  • Automatisieren der AnwendungsregistrierungAutomate application registration
  • Abrufen von ÜberwachungsprotokollenObtain audit logs

Die folgenden Abschnitte helfen Ihnen bei der Vorbereitung auf die Verwendung der Microsoft Graph-API zum Automatisieren der Verwaltung von Ressourcen in Ihrem Azure AD B2C-Verzeichnis.The following sections help you prepare for using the Microsoft Graph API to automate the management of resources in your Azure AD B2C directory.

Interaktionsmodi der Microsoft Graph-APIMicrosoft Graph API interaction modes

Es gibt zwei Kommunikationsmodi, die Sie bei der Arbeit mit der Microsoft Graph-API verwenden können, um Ressourcen in Ihrem Azure AD B2C-Mandanten zu verwalten:There are two modes of communication you can use when working with the Microsoft Graph API to manage resources in your Azure AD B2C tenant:

  • Interaktiv: Dieser Modus eignet sich für einmalig ausgeführte Aufgaben. Sie verwenden dabei ein Administratorkonto im B2C-Mandanten, um die Verwaltungsaufgaben auszuführen.Interactive - Appropriate for run-once tasks, you use an administrator account in the B2C tenant to perform the management tasks. Dieser Modus erfordert die Anmeldung eines Administrators mit seinen Anmeldeinformationen, bevor die Microsoft Graph-API aufgerufen wird.This mode requires an administrator to sign in using their credentials before calling the Microsoft Graph API.

  • Automatisiert: Dieser Modus eignet sich für geplante oder fortlaufend ausgeführte Aufgaben. Bei dieser Methode wird ein Dienstkonto verwendet, das Sie mit den erforderlichen Berechtigungen zum Ausführen der Verwaltungsaufgaben konfigurieren.Automated - For scheduled or continuously run tasks, this method uses a service account that you configure with the permissions required to perform management tasks. Sie erstellen das Dienstkonto in Azure AD B2C, indem Sie eine Anwendung registrieren, die von Ihren Anwendungen und Skripts zum Authentifizieren über die Anwendungs-ID (Client-ID) und die gewährten OAuth 2.0-Clientanmeldeinformationen verwendet wird.You create the "service account" in Azure AD B2C by registering an application that your applications and scripts use for authenticating using its Application (Client) ID and the OAuth 2.0 client credentials grant. In diesem Fall ruft die Anwendung im eigenen Namen die Microsoft Graph-API auf, nicht über den Administratorbenutzer wie bei der zuvor beschriebenen interaktiven Methode.In this case, the application acts as itself to call the Microsoft Graph API, not the administrator user as in the previously described interactive method.

Sie aktivieren das automatisierte Interaktionsszenario, indem Sie eine Anwendungsregistrierung erstellen, die in den folgenden Abschnitten gezeigt wird.You enable the Automated interaction scenario by creating an application registration shown in the following sections.

Der Flow für die Gewährung von OAuth 2.0-Clientanmeldeinformationen wird derzeit nicht direkt vom Azure AD B2C-Authentifizierungsdienst unterstützt. Sie können den Clientanmeldeinformations-Flow jedoch mithilfe von Azure AD und Microsoft Identity Platform/Tokenendpunkt für eine Anwendung in Ihrem Azure AD B2C-Mandanten einrichten.Although the OAuth 2.0 client credentials grant flow is not currently directly supported by the Azure AD B2C authentication service, you can set up client credential flow using Azure AD and the Microsoft identity platform /token endpoint for an application in your Azure AD B2C tenant. Ein Azure AD B2C-Mandant teilt sich einige Funktionen mit Azure AD-Unternehmensmandanten.An Azure AD B2C tenant shares some functionality with Azure AD enterprise tenants.

Registrieren von ManagementanwendungenRegister management application

Bevor Ihre Skripts und Anwendungen mit der Microsoft Graph-API interagieren können, um Azure AD B2C-Ressourcen zu verwalten, müssen Sie eine Anwendungsregistrierung in Ihrem Azure AD B2C-Mandanten erstellen, die die erforderlichen API-Berechtigungen erteilt.Before your scripts and applications can interact with the Microsoft Graph API to manage Azure AD B2C resources, you need to create an application registration in your Azure AD B2C tenant that grants the required API permissions.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Wählen Sie auf der Symbolleiste des Portals das Symbol Verzeichnis und Abonnement aus, und wählen Sie dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.Select the Directory + Subscription icon in the portal toolbar, and then select the directory that contains your Azure AD B2C tenant.
  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.In the Azure portal, search for and select Azure AD B2C.
  4. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.Select App registrations, and then select New registration.
  5. Geben Sie unter Name einen Namen für die Anwendung ein.Enter a Name for the application. Zum Beispiel managementapp1.For example, managementapp1.
  6. Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus.Select Accounts in this organizational directory only.
  7. Deaktivieren Sie unter Berechtigungen das Kontrollkästchen Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen.Under Permissions, clear the Grant admin consent to openid and offline_access permissions check box.
  8. Wählen Sie Registrieren.Select Register.
  9. Notieren Sie die Anwendungs-ID (Client) , die auf der Übersichtsseite der Anwendung angezeigt wird.Record the Application (client) ID that appears on the application overview page. Sie verwenden diesen Wert in einem späteren Schritt.You use this value in a later step.

Gewähren des API-ZugriffsGrant API access

Gewähren Sie als Nächstes der registrierten Anwendung die Berechtigungen zum Ändern der Mandantenressourcen über Aufrufe der Microsoft Graph-API.Next, grant the registered application permissions to manipulate tenant resources through calls to the Microsoft Graph API.

  1. Wählen Sie unter Verwalten die Option API-Berechtigungen.Under Manage, select API permissions.
  2. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.Under Configured permissions, select Add a permission.
  3. Wählen Sie die Registerkarte Microsoft-APIs und dann Microsoft Graph aus.Select the Microsoft APIs tab, then select Microsoft Graph.
  4. Wählen Sie Anwendungsberechtigungen.Select Application permissions.
  5. Erweitern Sie die entsprechende Berechtigungsgruppe, und aktivieren Sie das Kontrollkästchen neben der Berechtigung, die Sie Ihrer Verwaltungsanwendung gewähren möchten.Expand the appropriate permission group and select the check box of the permission to grant to your management application. Beispiel:For example:
    • AuditLog > AuditLog.Read.All: Zum Lesen der Überwachungsprotokolle des Verzeichnisses.AuditLog > AuditLog.Read.All: For reading the directory's audit logs.
    • Directory > Directory.ReadWrite.All: Für Benutzermigrations- oder Benutzerverwaltungsszenarien.Directory > Directory.ReadWrite.All: For user migration or user management scenarios.
    • Policy > Policy.ReadWrite.TrustFramework: Für CI-/CD-Szenarien (Continuous Integration/Continuous Delivery).Policy > Policy.ReadWrite.TrustFramework: For continuous integration/continuous delivery (CI/CD) scenarios. Zum Beispiel für die Bereitstellung benutzerdefinierter Richtlinien mit Azure Pipelines.For example, custom policy deployment with Azure Pipelines.
  6. Wählen Sie Berechtigungen hinzufügen aus.Select Add permissions. Warten Sie einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.As directed, wait a few minutes before proceeding to the next step.
  7. Wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.Select Grant admin consent for (your tenant name).
  8. Wenn Sie derzeit nicht als globaler Administrator angemeldet sind, melden Sie sich mit einem Konto bei Ihrem Azure AD B2C-Mandanten an, dem mindestens die Rolle Cloudanwendungsadministrator zugewiesen wurde, und wählen Sie Administratorzustimmung für (Name Ihres Mandanten) erteilen aus.If you are not currently signed-in with Global Administrator account, sign in with an account in your Azure AD B2C tenant that's been assigned at least the Cloud application administrator role and then select Grant admin consent for (your tenant name).
  9. Wählen Sie Aktualisieren aus, und überprüfen Sie dann, ob „Gewährt für...“ unter Status angezeigt wird.Select Refresh, and then verify that "Granted for ..." appears under Status. Es kann einige Minuten dauern, bis die Berechtigungen weitergegeben wurden.It might take a few minutes for the permissions to propagate.

Erstellen eines geheimen ClientschlüsselsCreate client secret

  1. Wählen Sie unter Verwalten die Option Zertifikate und Geheimnisse aus.Under Manage, select Certificates & secrets.
  2. Wählen Sie Neuer geheimer Clientschlüssel.Select New client secret.
  3. Geben Sie im Feld Beschreibung eine Beschreibung für das Clientgeheimnis ein.Enter a description for the client secret in the Description box. Beispielsweise clientsecret1.For example, clientsecret1.
  4. Wählen Sie unter Läuft ab einen Zeitraum aus, für den das Geheimnis gültig ist, und wählen Sie dann Hinzufügen aus.Under Expires, select a duration for which the secret is valid, and then select Add.
  5. Notieren Sie den Wert des Geheimnisses.Record the secret's Value. Dieser Wert wird in einem späteren Schritt für die Konfiguration verwendet.You use this value for configuration in a later step.

Sie verfügen jetzt über eine Anwendung mit der Berechtigung zum Erstellen, Lesen, Aktualisieren und Löschen von Benutzern in Ihrem Azure AD B2C-Mandanten.You now have an application that has permission to create, read, update, and delete users in your Azure AD B2C tenant. Fahren Sie mit dem nächsten Abschnitt fort, um die Berechtigung Kennwort aktualisieren hinzuzufügen.Continue to the next section to add password update permissions.

Aktivieren der Berechtigungen zum Löschen von Benutzern und zum Aktualisieren von KennwörternEnable user delete and password update

Die Berechtigung Lese- und Schreibzugriff auf Verzeichnisdaten schließt NICHT die Möglichkeit ein, Benutzer zu löschen oder Kennwörter von Benutzerkonten zu ändern.The Read and write directory data permission does NOT include the ability delete users or update user account passwords.

Wenn Ihre Anwendung oder Ihr Skript Benutzer löschen oder deren Kennwörter aktualisieren soll, weisen Sie der Anwendung die Rolle Benutzeradministrator zu:If your application or script needs to delete users or update their passwords, assign the User administrator role to your application:

  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie mit Verzeichnis + Abonnement zu Ihrem Azure AD B2C-Mandanten.Sign in to the Azure portal and use the Directory + Subscription filter to switch to your Azure AD B2C tenant.
  2. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.Search for and select Azure AD B2C.
  3. Wählen Sie unter Verwalten den Eintrag Rollen und Administratoren aus.Under Manage, select Roles and administrators.
  4. Wählen Sie die Rolle Benutzeradministrator aus.Select the User administrator role.
  5. Wählen Sie Zuweisungen hinzufügen aus.Select Add assignments.
  6. Geben Sie im Textfeld Auswählen den Namen der zuvor registrierten Anwendung ein, z. B. managementapp1.In the Select text box, enter the name of the application you registered earlier, for example, managementapp1. Wählen Sie Ihre Anwendung aus, wenn sie in den Suchergebnissen angezeigt wird.Select your application when it appears in the search results.
  7. Wählen Sie Hinzufügen.Select Add. Es kann einige Minuten dauern, bis die Berechtigungen vollständig verteilt sind.It might take a few minutes to for the permissions to fully propagate.

Nächste SchritteNext steps

Nachdem Sie Ihre Managementanwendung registriert und ihr die erforderlichen Berechtigungen gewährt haben, können Ihre Anwendungen und Dienste (z. B. Azure Pipelines) ihre Anmeldeinformationen und Berechtigungen zum Interagieren mit der Microsoft Graph-API verwenden.Now that you've registered your management application and have granted it the required permissions, your applications and services (for example, Azure Pipelines) can use its credentials and permissions to interact with the Microsoft Graph API.