Permitir que las aplicaciones accedan a reuniones en línea en nombre de un usuario

En algunos casos, como para servicios en segundo plano o aplicaciones de demonio que se ejecutan en un servidor sin la presencia de un usuario que ha iniciado sesión, es apropiado que una aplicación llame a Microsoft Graph para realizar acciones en nombre de un usuario. Por ejemplo, es posible que una aplicación necesite llamar a Microsoft Graph para programar varias reuniones en función de las programaciones publicadas (como cursos) o herramientas de programación externas. En estos casos, el usuario del que actúa la aplicación en nombre de se identifica como organizador de la reunión.

Los administradores que desean permitir que una aplicación acceda a recursos de reunión en línea en nombre de un usuario pueden usar cmdlets de PowerShell New-CsApplicationAccessPolicy y Grant-CsApplicationAccessPolicy para configurar el control de acceso. Este artículo describe los pasos básicos para configurar una directiva de acceso de aplicación.

Estos pasos son específicos de las reuniones en línea y no se aplican a otros recursos Graph Microsoft.

Configurar la directiva de acceso a aplicaciones

Para configurar una directiva de acceso a aplicaciones y permitir que las aplicaciones accedan a reuniones en línea con permisos de aplicación:

  1. Identifique el identificador de aplicación (cliente) de la aplicación y los identificadores de usuario de los usuarios en nombre de los cuales la aplicación tendrá autorización para acceder a reuniones en línea.

  2. Conectar usar Skype Empresarial PowerShell con una cuenta de administrador. Para obtener más información, vea Manage Skype Empresarial Online with PowerShell.

  3. Crea una directiva de acceso a aplicaciones que contenga una lista de los IDs de la aplicación.

    Ejecute el siguiente cmdlet, reemplazando los argumentos Identity, AppIds y Description (opcional).

    New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
    
  4. Conceda la directiva al usuario para permitir que los id. de aplicación contenidos en la directiva accedan a reuniones en línea en nombre del usuario concedido.

    Ejecute el siguiente cmdlet, reemplazando los argumentos PolicyName e Identity.

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "ddb80e06-92f3-4978-bc22-a0eee85e6a9e"
    
  5. (Opcional) Conceda la directiva a todo el inquilino. Esto se aplicará a los usuarios que no tengan asignada una directiva de acceso a aplicaciones. Para obtener más información, consulte los vínculos del cmdlet en la sección vea también.

    Ejecute el siguiente cmdlet, reemplazando el argumento PolicyName.

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
    

Nota

  • Identity hace referencia al nombre de la directiva al crear la directiva, pero el identificador de usuario al conceder la directiva.
  • Los cambios en las directivas de acceso a aplicaciones pueden tardar hasta 30 minutos en tener efecto en las llamadas a la API de REST Graph Microsoft.

Permisos admitidos y recursos adicionales

Los administradores pueden usar cmdlets ApplicationAccessPolicy para controlar el acceso de buzones de una aplicación a la que se ha concedido cualquiera de los siguientes permisos de aplicación:

  • OnlineMeetings.Read.All
  • OnlineMeetings.ReadWrite.All

Para obtener más información sobre la configuración de la directiva de acceso de aplicación, vea la Referencia de cmdlet de PowerShell para New-ApplicationAccessPolicy.

Errores

Es posible que encuentres el siguiente error cuando se deniega el acceso a una llamada api debido a que una aplicación intenta obtener acceso a una reunión en línea cuando la directiva de acceso de aplicaciones no está configurada.

{
    "error": {
        "code": "Unauthorized",
        "message": "App <app_ID_redacted> is not authorized to Create meeting on behalf of user <user_ID_redacted>",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Siga los pasos de este artículo para crear o conceder una directiva de acceso a aplicaciones que contenga el identificador de aplicación al identificador de usuario.

Vea también