Bérlőszintű rendszergazdai jóváhagyás megadása egy alkalmazáshoz

  • Cikk

Ebből a cikkből megtudhatja, hogyan adhat bérlői szintű rendszergazdai hozzájárulást egy alkalmazáshoz a Microsoft Entra-azonosítóban. Az egyes felhasználói hozzájárulási beállítások konfigurálásának megismeréséhez tekintse meg a végfelhasználók alkalmazásokhoz való hozzájárulásának konfigurálását ismertető témakört.

Amikor bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, hozzáférést ad az alkalmazásnak a teljes szervezet nevében kért engedélyekhez. A rendszergazdai hozzájárulás megadása egy szervezet nevében bizalmas művelet, amely lehetővé teszi az alkalmazás közzétevőjének a szervezet adatainak jelentős részére való hozzáférést, vagy a magas jogosultsági szintű műveletek elvégzésére vonatkozó engedélyt. Ilyen műveletek lehetnek például a szerepkör-kezelés, az összes postaládához vagy webhelyhez való teljes hozzáférés, valamint a teljes felhasználói megszemélyesítés. Ezért a hozzájárulás megadása előtt alaposan át kell tekintenie az alkalmazás által kért engedélyeket.

Alapértelmezés szerint, ha bérlőszintű rendszergazdai hozzájárulást ad egy alkalmazáshoz, minden felhasználó hozzáférhet az alkalmazáshoz, kivéve, ha más módon korlátozva van. Ha korlátozni szeretné, hogy mely felhasználók jelentkezhetnek be egy alkalmazásba, konfigurálja az alkalmazást úgy, hogy felhasználói hozzárendelést igényeljen, majd rendeljen hozzá felhasználókat vagy csoportokat az alkalmazáshoz.

Fontos

A bérlőszintű rendszergazdai hozzájárulás megadása visszavonhatja azokat az engedélyeket, amelyek már bérlői szintű engedélyt kaptak az adott alkalmazáshoz. A felhasználók által a saját nevükben megadott engedélyekre nincs hatással.

Előfeltételek

A bérlőszintű rendszergazdai hozzájárulás megadásához olyan felhasználóként kell bejelentkeznie, aki jogosult a szervezet nevében megadni a hozzájárulást.

A bérlőszintű rendszergazdai hozzájárulás megadásához a következőkre van szükség:

  • Microsoft Entra-felhasználói fiók az alábbi szerepkörök egyikével:

    • Globális rendszergazda vagy Kiemelt szerepkörű rendszergazda, hozzájárulás megadásához, ha egy alkalmazás bármilyen engedélyt kér bármilyen API-hoz.
    • Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator, a Microsoft Graph alkalmazásszerepköreinek (alkalmazásengedélyek) kivételével bármely API-hoz engedélyt kérő alkalmazások hozzájárulásának megadásához.
    • Egy egyéni címtárszerepkör, amely tartalmazza az alkalmazások engedélyeinek megadására vonatkozó engedélyt az alkalmazás által igényelt engedélyekhez.

Ha az alkalmazás már ki van építve a bérlőben, a Vállalati alkalmazások panelen adhat bérlőszintű rendszergazdai hozzájárulást. Egy alkalmazás például akkor építhető ki a bérlőben, ha legalább egy felhasználó már megadta a hozzájárulását az alkalmazáshoz. További információ: Hogyan és miért vannak hozzáadva alkalmazások a Microsoft Entra-azonosítóhoz.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha bérlőszintű rendszergazdai hozzájárulást szeretne adni a Vállalati alkalmazások panelen felsorolt alkalmazásokhoz :

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
  4. Válassza az Engedélyek lehetőséget a Biztonság területen. Screenshot shows how to grant tenant-wide admin consent.
  5. Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért az alkalmazás által igényelt engedélyekkel, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.

Bérlőszintű rendszergazdai hozzájárulást adhat Alkalmazásregisztrációk a Microsoft Entra felügyeleti központban a szervezet által fejlesztett és regisztrált alkalmazásokhoz, közvetlenül a Microsoft Entra-bérlőben.

Bérlőszintű rendszergazdai hozzájárulás megadása Alkalmazásregisztrációk:

  1. A Microsoft Entra Felügyeleti központban keresse meg az Identity Applications Alkalmazásregisztrációk All applications (Identitásalkalmazások>>)> lehetőséget.
  2. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
  3. Válassza ki az API-engedélyeket a Kezelés területen.
  4. Gondosan tekintse át az alkalmazás által igényelt engedélyeket. Ha egyetért, válassza a Rendszergazdai hozzájárulás megadása lehetőséget.

Ha bérlőszintű rendszergazdai hozzájárulást ad meg az előző szakaszban ismertetett bármelyik módszerrel, a Microsoft Entra felügyeleti központjából megnyílik egy ablak, amely bérlőszintű rendszergazdai hozzájárulást kér. Ha ismeri az alkalmazás ügyfél-azonosítóját (más néven alkalmazásazonosítóját), létrehozhatja ugyanazt az URL-címet a bérlőszintű rendszergazdai hozzájárulás megadásához.

A bérlőszintű rendszergazdai hozzájárulás URL-címe a következő formátumot követi:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

ahol:

  • a {client-id} az alkalmazás ügyfél-azonosítója (más néven alkalmazásazonosítója).
  • {organization} a bérlőazonosító vagy annak a bérlőnek az ellenőrzött tartományneve, amelyben engedélyezni szeretné az alkalmazást. Használhatja azt az értéket organizations, amely miatt a hozzájárulás a bejelentkezett felhasználó otthoni bérlőjében történik.

Mint mindig, a hozzájárulás megadása előtt gondosan nézze át az alkalmazáskérések tartalmát.

A bérlőszintű rendszergazdai hozzájárulás URL-címének kiépítéséről további információt a Microsoft Identitásplatform Rendszergazda hozzájárulásában talál.

Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.

Az alábbi példában az erőforrás API a Microsoft Graph objektumazonosítója 7ea9e944-71ce-443d-811c-71e8047b557a. A Microsoft Graph API határozza meg a delegált engedélyeket és User.Read.AllGroup.Read.Alla . A consentType azt AllPrincipalsjelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő b0d9b9e3-0ecf-4bfd-8dab-9273dd055a941: .

Figyelemfelhívás

Légy óvatos! A programozott módon megadott engedélyekre nincs szükség felülvizsgálatra vagy megerősítésre. Azonnal érvénybe lépnek.

  1. Csatlakozás a Microsoft Graph PowerShellbe, és jelentkezzen be legalább egy Felhőalkalmazás-Rendszergazda istrator.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"

  2. Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:User.Read.AllGroup.Read.All

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl

  3. Adja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.

    $params = @{

"ClientId" = "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
"ConsentType" = "AllPrincipals"
"ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
"Scope" = "User.Read.All Group.Read.All"
}

New-MgOauth2PermissionGrant -BodyParameter $params | 
Format-List Id, ClientId, ConsentType, ResourceId, Scope

  4. Az alábbi kérés futtatásával győződjön meg arról, hogy bérlőszintű rendszergazdai hozzájárulást adott.

 Get-MgOauth2PermissionGrant -Filter "clientId eq 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' and consentType eq 'AllPrincipals'"

Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.

Az alábbi példában a Microsoft Graph-alkalmazásnak (az azonosító b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94főkiszolgálójának) egy olyan alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214 ad meg, amelyet egy azonosítójú 7ea9e944-71ce-443d-811c-71e8047b557aerőforrás API elérhetővé téve.

  1. Csatlakozás a Microsoft Graph PowerShellbe, és jelentkezzen be Globális Rendszergazda istrator.

    Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"

  2. Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a bérlőben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója.df021288-bdef-4463-88db-98f22de89214

    Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl

  3. Az alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.

 $params = @{
  "PrincipalId" ="b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
  "ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

A Graph Explorer használatával delegált és alkalmazásengedélyeket is adhat.

Ebben a szakaszban delegált engedélyeket ad az alkalmazásnak. A delegált engedélyek olyan engedélyek, amelyeket az alkalmazásnak egy bejelentkezett felhasználó nevében kell elérnie egy API-hoz. Az engedélyeket egy erőforrás API határozza meg, és a vállalati alkalmazásnak, vagyis az ügyfélalkalmazásnak adja meg. Ez a hozzájárulás minden felhasználó nevében meg van adva.

Legalább felhőalapú alkalmazásként kell bejelentkeznie Rendszergazda istratorként.

Az alábbi példában az erőforrás API a Microsoft Graph objektumazonosítója 7ea9e944-71ce-443d-811c-71e8047b557a. A Microsoft Graph API határozza meg a delegált engedélyeket és User.Read.AllGroup.Read.Alla . A consentType azt AllPrincipalsjelzi, hogy ön a bérlő összes felhasználója nevében hozzájárul. Az ügyfél vállalati alkalmazás objektumazonosítója a következő b0d9b9e3-0ecf-4bfd-8dab-9273dd055a941: .

Figyelemfelhívás

Légy óvatos! A programozott módon megadott engedélyeket nem kell felülvizsgálni vagy megerősítést adni. Azonnal érvénybe lépnek.

  1. Kérje le a Microsoft Graph (az erőforrásalkalmazás) által definiált összes delegált engedélyt a bérlői alkalmazásban. Azonosítsa azokat a delegált engedélyeket, amelyekre szüksége van az ügyfélalkalmazás megadásához. Ebben a példában a delegálási engedélyek a következők:User.Read.AllGroup.Read.All

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes

  2. Adja meg a delegált engedélyeket az ügyfél vállalati alkalmazásának az alábbi kérés futtatásával.

    POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants

Request body
{
   "clientId": "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94",
   "consentType": "AllPrincipals",
   "resourceId": "7ea9e944-71ce-443d-811c-71e8047b557a",
   "scope": "User.Read.All Group.Read.All"
}

  3. Az alábbi kérés futtatásával győződjön meg arról, hogy bérlőszintű rendszergazdai hozzájárulást adott.

    GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' and consentType eq 'AllPrincipals'

Ebben a szakaszban alkalmazásengedélyeket ad a vállalati alkalmazásnak. Az alkalmazásengedélyek olyan engedélyek, amelyekhez az alkalmazásnak hozzá kell férnie egy erőforrás API-hoz. Az engedélyeket az erőforrás API határozza meg és adja meg a vállalati alkalmazásnak, amely az elsődleges alkalmazás. Miután hozzáférést adott az alkalmazásnak az erőforrás API-hoz, az háttérszolgáltatásként vagy démonként fut bejelentkezett felhasználó nélkül. Az alkalmazásengedélyeket alkalmazásszerepköröknek is nevezik.

Az alábbi példában a Microsoft Graph (az azonosító b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94neve) egy olyan alkalmazásszerepkört (alkalmazásengedélyt) df021288-bdef-4463-88db-98f22de89214 ad az alkalmazásnak, amelyet egy erőforrás-nagyvállalati azonosító-alkalmazás 7ea9e944-71ce-443d-811c-71e8047b557aelérhetővé téve.

Globális Rendszergazda istratorként kell bejelentkeznie.

  1. Kérje le a Microsoft Graph által definiált alkalmazásszerepköröket a bérlőben. Azonosítsa az ügyfél vállalati alkalmazásának biztosításához szükséges alkalmazásszerepkört. Ebben a példában az alkalmazásszerepkör azonosítója df021288-bdef-4463-88db-98f22de89214

    GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles

  2. Az alábbi kérés futtatásával adja meg az alkalmazásengedélyt (alkalmazásszerepkört) az egyszerű alkalmazásnak.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/7ea9e944-71ce-443d-811c-71e8047b557a/appRoleAssignedTo

Request body

{
   "principalId": "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94",
   "resourceId": "7ea9e944-71ce-443d-811c-71e8047b557a",
   "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
}

Következő lépések