Permitir que las aplicaciones obtengan acceso a reuniones en nombre de un usuarioAllow applications to access online meetings on behalf of a user

En algunos casos, como en el caso de los servicios en segundo plano o de las aplicaciones daemon que se ejecutan en un servidor sin la presencia de un usuario que ha iniciado sesión, es conveniente que una aplicación llame a Microsoft Graph para emprender acciones en nombre de un usuario.In some cases, such as for background services or daemon apps that run on a server without the presence of a signed-in user, it is appropriate for an app to call Microsoft Graph to take actions on behalf of a user. Por ejemplo, es posible que una aplicación necesite llamar a Microsoft Graph para programar varias reuniones en función de programaciones publicadas (como cursos) o las herramientas de programación externas.For example, an app might need to call Microsoft Graph to schedule multiple meetings based on published schedules (such as courses) or external scheduling tools. En estos casos, el usuario que la aplicación actúa en nombre de se identifica como organizador de la reunión.In these cases, the user that the application acts on behalf of is identified as the meeting organizer.

Los administradores que desean permitir que una aplicación acceda a los recursos de reuniones en línea en nombre de un usuario pueden usar cmdlets de PowerShell New-CsApplicationAccessPolicy y Grant-CsApplicationAccessPolicy para configurar el control de acceso.Administrators who want to allow an application to access online meeting resources on behalf of a user can use New-CsApplicationAccessPolicy and Grant-CsApplicationAccessPolicy PowerShell cmdlets to configure access control. Este artículo describe los pasos básicos para configurar una directiva de acceso de aplicación.This article covers the basic steps to configure an application access policy.

Estos pasos son específicos para las reuniones en línea y no se aplican a otros recursos de Microsoft Graph.These steps are specific to online meetings and do not apply to other Microsoft Graph resources.

Configurar la Directiva de acceso a la aplicaciónConfigure application access policy

Para configurar una directiva de acceso a aplicaciones y permitir que las aplicaciones obtengan acceso a reuniones en línea con permisos de aplicación:To configure an application access policy and allow applications to access online meetings with application permissions:

  1. Identifique el identificador de applcation (cliente) de la aplicación y los identificadores de usuario de los usuarios en nombre de los que la aplicación estará autorizada para acceder a reuniones en línea.Identify the app’s applcation (client) ID and the user IDs of the users on behalf of which the app will be authorized to access online meetings.

  2. Conéctese a PowerShell de Skype empresarial con la cuenta Adminitrator.Connect to Skype for Business PowerShell with adminitrator account. Para obtener más información, consulte administrar Skype empresarial online con PowerShell.For details, see Manage Skype for Business Online with PowerShell.

  3. Cree una directiva de acceso a la aplicación que contenga una lista de identificadores de aplicación.Create an application access policy containing a list of app IDs.

    Ejecute el siguiente cmdlet, reemplazando los argumentos Identity, AppIdsy Description (optional).Run the following cmdlet, replacing the Identity, AppIds, and Description (optional) arguments.

    New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
    
  4. Conceda la Directiva al usuario para permitir que los identificadores de aplicación contenidos en la Directiva tengan acceso a las reuniones en línea en nombre del usuario que ha recibido.Grant the policy to the user to allow the app IDs contained in the policy to access online meetings on behalf of the granted user.

    Ejecute el siguiente cmdlet, reemplazando los argumentos PolicyName e Identity .Run the following cmdlet, replacing the PolicyName and Identity arguments.

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "ddb80e06-92f3-4978-bc22-a0eee85e6a9e"
    

NotaNote

  • Identity hace referencia al nombre de la Directiva al crear la Directiva, pero el identificador de usuario al conceder la Directiva.Identity refers to the policy name when creating the policy, but the user ID when granting the policy.
  • Los cambios en las directivas de acceso a aplicaciones pueden tardar hasta 30 minutos en surtir efecto en las llamadas a la API de REST de Microsoft Graph.Changes to application access policies can take up to 30 minutes to take effect in Microsoft Graph REST API calls.

Permisos admitidos y recursos adicionalesSupported permissions and additional resources

Los administradores pueden usar cmdlets de ApplicationAccessPolicy para controlar el acceso al buzón de una aplicación a la que se le han concedido los siguientes permisos de aplicación:Administrators can use ApplicationAccessPolicy cmdlets to control mailbox access for an app that has been granted any of the following application permissions:

  • OnlineMeetings.Read.AllOnlineMeetings.Read.All
  • OnlineMeetings.ReadWrite.AllOnlineMeetings.ReadWrite.All

Para obtener más información sobre la configuración de la directiva de acceso de aplicación, vea la Referencia de cmdlet de PowerShell para New-ApplicationAccessPolicy.For more information about configuring application access policy, see the PowerShell cmdlet reference for New-ApplicationAccessPolicy.

ErroresErrors

Es posible que se produzca el siguiente error cuando se deniega el acceso a una llamada de API debido a que una aplicación intenta obtener acceso a una reunión en línea cuando la Directiva de acceso a la aplicación no está configurada.You might encounter the following error when an API call is denied access due to an app trying to access an online meeting when application access policy is not configured.

{
    "error": {
        "code": "Unauthorized",
        "message": "App <app_ID_redacted> is not authorized to Create meeting on behalf of user <user_ID_redacted>",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Siga los pasos de este artículo para crear o conceder a una directiva de acceso a la aplicación que contiene el identificador de la aplicación al identificador de usuario.Follow the steps in this article to create and/or grant an application access policy that contains the app ID to the user ID.

Vea tambiénSee also