Azure AD gebruiken voor toegang tot de Intune-API's in Microsoft Graph

De Microsoft Graph API biedt nu ondersteuning voor Microsoft Intune met specifieke API's en machtigingsrollen. De Microsoft Graph API gebruikt Azure Active Directory (Azure AD) voor verificatie en toegangsbeheer.
Voor toegang tot de Intune-API's in Microsoft Graph is het volgende vereist:

• Een toepassings-ID met:

  • Machtiging voor het aanroepen van Azure AD en Microsoft Graph API's.
  • Machtigingsbereiken die relevant zijn voor de specifieke toepassingstaken.

• Gebruikersreferenties met:

  • Machtiging voor toegang tot de Azure AD-tenant die is gekoppeld aan de toepassing.
  • Rolmachtigingen die zijn vereist voor ondersteuning van de machtigingsbereiken van de toepassing.

• Verlenen van machtiging aan de app door de eindgebruiker om toepassingstaken uit te voeren voor hun Azure-tenant.

Dit artikel:

• Laat zien hoe u een toepassing registreert met toegang tot de Microsoft Graph API en de relevante machtigingsrollen.

• Bevat een beschrijving van de machtigingsrollen voor de Intune-API.

• Toont voorbeelden van Intune API-verificatie voor C# en PowerShell.

• Bevat een beschrijving hoe u tenants ondersteunt.

Zie voor meer informatie:

• Toegang tot webtoepassingen die gebruikmaken van OAuth 2.0 en Azure Active Directory autoriseren
• Aan de slag met Azure AD-verificatie
• Toepassingen integreren met Azure Active Directory
• OAuth 2.0 begrijpen

Apps voor het gebruik van de Microsoft Graph API registreren

U registreert als volgt apps voor het gebruik van de Microsoft Graph API:

1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum met beheerdersreferenties.

   U kunt het volgende gebruiken:

   • De beheerdersaccount van de tenant.
   • Een gebruikersaccount van de tenant waarin de instelling Gebruikers kunnen toepassingen registreren is ingeschakeld.

2. Selecteer Alle services > M365 Azure Active Directory > Azure Active Directory > App-registraties.

   

3. Kies Nieuwe registratie om een nieuwe toepassing te maken of kies een bestaande toepassing. (Als u een bestaande toepassing kiest, slaat u de volgende stap over.)

4. Geef in het deelvenster Een toepassing registreren het volgende op:

   • Een naam voor de toepassing (weergegeven wanneer gebruikers zich aanmelden).

   • Het Ondersteund accounttype.

   • Een omleidings-URI-waarde. Deze waarde is optie.

     Notitie

     Azure Active Directory (Azure AD) Authentication Library (ADAL) en Azure AD Graph API worden afgeschaft. Zie Uw toepassingen bijwerken voor het gebruik van Microsoft Authentication Library (MSAL) en Microsoft Graph API voor meer informatie.

     

     Zie Verificatiescenario's voor Azure AD voor meer informatie.

5. Vanuit het toepassingsdeelvenster:

   1. Noteer de waarde toepassings-id (client).

   2. Selecteer API-machtigingen.

6. Kies in het deelvenster API-machtigingen de optie Een machtiging toevoegen Microsoft > API's Microsoft > Graph. Selecteer vervolgens het type machtigingen dat uw toepassing nodig heeft.

   Kies de rollen die zijn vereist voor uw app door links van de relevante namen een vinkje te plaatsen. Zie Intune-machtigingsbereiken voor meer informatie over specifieke Intune-machtigingsbereiken. Zie Referentie voor Microsoft Graph-machtigingen voor meer informatie over andere Graph API-machtigingsbereiken.

   Kies het minste aantal rollen dat nodig is voor het implementeren van uw toepassing om de beste resultaten te verkrijgen.

Machtigingen voor datawarehouse en rapportage

Wanneer u een toepassing toevoegt via Azure Active Directory-beheercentrum, kunt u de Intune API-machtigingen kiezen op basis van de vereisten van uw toepassing.

• get_data_warehouse: gebruik deze API-machtiging om toegang te verlenen tot de Intune-datawarehouse-API van Microsoft Intune. Zie Using the Microsoft Intune Data Warehouse (De Microsoft Intune Data Warehouse) voor meer informatie.

Partneroplossings-API's

De volgende Intune API-machtigingen zijn beschikbaar wanneer u een toepassing toevoegt via Azure Active Directory beheercentrum:

• get_device_compliance: deze API-machtiging wordt gebruikt om apparaattoestands- en nalevingsinformatie op te halen uit Microsoft Intune. Deze API-machtiging wordt gebruikt door network Access Control partners. Zie Network Access Control integration with Intune (Netwerkintegratie met Intune) voor meer informatie.
• manage_partner_compliance_policy: deze API-machtiging wordt gebruikt voor het beheren van nalevingsbeleid van partners met Microsoft Intune. Met deze API-machtiging kan de app nalevingsbeleid van partners en de toewijzing van de Azure AD-groep verzenden naar Microsoft Intune zonder een aangemelde gebruiker. Het wordt gebruikt door apparaat nalevingspartners. Zie Apparaat nalevingspartners van derden voor meer informatie.
• pfx_cert_provider: deze API-machtiging wordt gebruikt voor het verzenden van PFX-certificaten naar Intune voor een specifieke gebruiker. Intune levert het certificaat aan alle apparaten die door de gebruiker zijn ingeschreven. Zie POWERShell importeren voor PFX voor meer informatie.
• scep_challenge_provider: deze API-machtiging wordt gebruikt om SCEP-uitdagingen naar Intune te verzenden voor validatie van certificaataanvraag. Deze wordt gebruikt door certificeringsinstantiepartners. Zie Partnercertificeringsinstantie voor meer informatie.
• send_data_usage: deze API-machtiging wordt gebruikt om beleidswijzigingen te activeren voor apparaten op basis van drempelwaarden voor Telecom Expense Management. Het wordt gebruikt voor integraties van Telecom Expense Management-partners. Zie Telecom Expense Management in Intune voor meer informatie.
• update_device_attributes: deze API-machtiging wordt gebruikt voor het verzenden van apparaatgegevens naar Intune vanuit apparaat compliance en Mobile Threat Defense-partners. Zie Mobile Threat Defense-integratie met Intune en Externe apparaat nalevingspartners voor meer informatie.
• update_device_health: deze API-machtiging wordt gebruikt om status- en bedreigingsstatusinformatie van Mobile Threat Defense-partners naar Intune te verzenden. Zie Mobile Threat Defense-integratie met Intune voor meer informatie.

Als u een partner bent die geïnteresseerd is in integratie met Intune met behulp van deze API-machtigingen, neem dan contact op met het team van Microsoft Intelligent Security Association] voor informatie.

Wanneer u klaar bent, kiest u Machtigingen toevoegen om wijzigingen op te slaan.

Op dit moment, kunt u ook:

• Ervoor kiezen alle tenantaccounts de machtiging te verlenen de app te gebruiken zonder referenties op te geven.

  Als u dit wilt doen, kunt u machtigingen verlenen en de bevestigingsprompt accepteren.

  Wanneer u de toepassing voor het eerst uitvoert, wordt u gevraagd de app te machtigen de geselecteerde rollen uit te voeren.

• Maak de app beschikbaar voor gebruikers buiten uw tenant. (Dit is doorgaans alleen vereist voor partners die meerdere tenants/organisaties ondersteunen.)

  Hiervoor doet u het volgende:

  1. Kies Manifest in het toepassingsvenster.

     

  2. Wijzig de waarde van de instelling availableToOtherTenants in true.

  3. Sla de wijzigingen op.

Intune-machtigingsbereiken

Azure AD en Microsoft Graph gebruiken machtigingsbereiken om toegang tot bedrijfsresources te beheren.

Machtigingsbereiken (ook wel de OAuth-bereiken genoemd) beheren de toegang tot specifieke Intune-entiteiten en hun eigenschappen. Deze sectie bevat een overzicht van de machtigingsbereiken voor functies van de Intune-API.

Zie voor meer informatie:

• Azure AD-verificatie
• Machtigingsbereiken voor toepassingen

Wanneer u Microsoft Graph machtigt, kunt u de volgende bereiken opgeven om toegang tot de Intune-functies te beheren: De volgende tabel bevat een overzicht van de machtigingsbereiken voor de Intune-API. In de eerste kolom ziet u de naam van de functie zoals weergegeven in het Microsoft Endpoint Manager beheercentrum en de tweede kolom bevat de naam van het machtigingsbereik.

De tabel bevat de instellingen zoals deze worden weergegeven in het Microsoft Endpoint Manager-beheercentrum. In de volgende secties worden de bereiken in alfabetische volgorde beschreven.

Op dit moment is voor alle Intune-machtigingsbereiken beheerderstoegang vereist. Dit betekent dat u de bijbehorende referenties nodig hebt voor het uitvoeren van apps of scripts die toegang hebben tot resources voor de Intune-API.

DeviceManagementApps.Read.All

• De instelling Toegang inschakelen: Microsoft Intune-apps lezen

• Staat leestoegang toe aan de volgende entiteitseigenschappen en -status:

  • Client-apps
  • Mobiele app-categorieën
  • App-beveiligingsbeleid
  • App-configuraties

DeviceManagementApps.ReadWrite.All

• De instelling Toegang inschakelen: Microsoft Intune-apps lezen en schrijven

• Hiermee kunt u dezelfde bewerkingen uitvoeren als met DeviceManagementApps.Read.All

• Staat ook wijzigingen toe aan de volgende entiteiten:

  • Client-apps
  • Mobiele app-categorieën
  • App-beveiligingsbeleid
  • App-configuraties

DeviceManagementConfiguration.Read.All

• De instelling Toegang inschakelen: Microsoft Intune-apparaatconfiguratie en -beleid lezen

• Staat leestoegang toe aan de volgende entiteitseigenschappen en -status:

  • Apparaatconfiguratie
  • Nalevingsbeleid voor apparaten
  • Meldingsberichten

DeviceManagementConfiguration.ReadWrite.All

• De instelling Toegang inschakelen: Microsoft Intune-apparaatconfiguratie en -beleid lezen en schrijven

• Hiermee kunt u dezelfde bewerkingen uitvoeren als met DeviceManagementConfiguration.Read.All

• Apps kunnen ook de volgende entiteiten maken, toewijzen, verwijderen en wijzigen:

  • Apparaatconfiguratie
  • Nalevingsbeleid voor apparaten
  • Meldingsberichten

DeviceManagementManagedDevices.PrivilegedOperations.All

• De instelling Toegang inschakelen: Externe acties die gebruikers beïnvloeden uitvoeren op apparaten met Microsoft Intune

• De volgende externe acties zijn toegestaan op een beheerd apparaat:

  • Buiten gebruik stellen
  • Wissen
  • Wachtwoordcode opnieuw instellen/herstellen
  • Vergrendelen op afstand
  • Modus Apparaat verloren in-/uitschakelen
  • Pc opruimen
  • Opnieuw opstarten
  • Gebruiker verwijderen van het gedeelde apparaat

DeviceManagementManagedDevices.Read.All

• De instelling Toegang inschakelen: Microsoft Intune-apparaten lezen

• Staat leestoegang toe aan de volgende entiteitseigenschappen en -status:

  • Beheerd apparaat
  • Apparaatcategorie
  • Gedetecteerde app
  • Externe acties
  • Malware-informatie

DeviceManagementManagedDevices.ReadWrite.All

• De instelling Toegang inschakelen: Microsoft Intune-apparaten lezen en schrijven

• Hiermee kunt u dezelfde bewerkingen uitvoeren als met DeviceManagementManagedDevices.Read.All

• Apps kunnen ook de volgende entiteiten maken, verwijderen en wijzigen:

  • Beheerd apparaat
  • Apparaatcategorie

• De volgende externe acties zijn ook toegestaan:

  • Apparaten zoeken
  • Activeringsslot uitschakelen
  • Hulp op afstand vragen

DeviceManagementRBAC.Read.All

• De instelling Toegang inschakelen: Microsoft Intune RBAC-instellingen lezen

• Staat leestoegang toe aan de volgende entiteitseigenschappen en -status:

  • Roltoewijzingen
  • Roldefinities
  • Resourcebewerkingen

DeviceManagementRBAC.ReadWrite.All

• De instelling Toegang inschakelen: Microsoft Intune RBAC-instellingen lezen en schrijven

• Hiermee kunt u dezelfde bewerkingen uitvoeren als met DeviceManagementRBAC.Read.All

• Apps kunnen ook de volgende entiteiten maken, toewijzen, verwijderen en wijzigen:

  • Roltoewijzingen
  • Roldefinities

DeviceManagementServiceConfig.Read.All

• De instelling Toegang inschakelen: Microsoft Intune-configuratie lezen

• Staat leestoegang toe aan de volgende entiteitseigenschappen en -status:

  • Apparaatregistratie
  • Apple Push Notification-certificaat
  • Apple Device Enrollment Program
  • Apple Volume Purchase Program
  • Exchange Connector
  • Voorwaarden
  • Onkostenbeheer telecommunicatie
  • Cloud PKI
  • Huisstijl
  • Mobile Threat Defense

DeviceManagementServiceConfig.ReadWrite.All

• De instelling Toegang inschakelen: Microsoft Intune-configuratie lezen en schrijven

• Hiermee kunt u dezelfde bewerkingen uitvoeren als met DeviceManagementServiceConfig.Read.All_

• Apps kunnen ook de volgende functies van Intune configureren:

  • Apparaatregistratie
  • Apple Push Notification-certificaat
  • Apple Device Enrollment Program
  • Apple Volume Purchase Program
  • Exchange Connector
  • Voorwaarden
  • Onkostenbeheer telecommunicatie
  • Cloud PKI
  • Huisstijl
  • Mobile Threat Defense

Voorbeelden van Azure AD-verificatie

In deze sectie wordt beschreven hoe u Azure AD opneemt in uw C# en PowerShell-projecten.

In elk voorbeeld moet u een toepassings-ID opgeven met ten minste het DeviceManagementManagedDevices.Read.All-machtigingsbereik (eerder besproken).

Wanneer u een van de voorbeelden test, worden mogelijk foutberichten voor HTTP-status 403 (verboden) weergegeven. Deze zien er ongeveer als volgt uit:

{
  "error": {
    "code": "Forbidden",
    "message": "Application is not authorized to perform this operation - Operation ID " +
       "(for customer support): 00000000-0000-0000-0000-000000000000 - " +
       "Activity ID: cc7fa3b3-bb25-420b-bfb2-1498e598ba43 - " +
       "Url: https://example.manage.microsoft.com/" +
       "Service/Resource/RESTendpoint?" +
       "api-version=2017-03-06 - CustomApiErrorPhrase: ",
    "innerError": {
      "request-id": "00000000-0000-0000-0000-000000000000",
      "date": "1980-01-0112:00:00"
    }
  }
}

Als dit gebeurt, moet u de volgende punten controleren:

• U hebt de toepassings-ID bijgewerkt naar een ID die de Microsoft Graph API mag gebruiken en het DeviceManagementManagedDevices.Read.All-machtigingsbereik heeft.

• De referenties van uw tenant ondersteunen beheerfuncties.

• Uw code is vergelijkbaar met de weergegeven voorbeelden.

Azure AD verifiëren in C#

In dit voorbeeld ziet u hoe u C# gebruikt voor het ophalen van een lijst met apparaten die zijn gekoppeld aan uw Intune-account.

1. Start Visual Studio en maak een nieuw project voor een Visual C# Console-app (.NET Framework).

2. Voer een naam in voor uw project en geef desgewenst andere informatie op.

   

3. Gebruik Solution Explorer om het Microsoft ADAL NuGet-pakket toe te voegen aan het project:

   1. Klik met de rechtermuisknop op Solution Explorer.
   2. Kies NuGet-pakketten beheren... > Bladeren.
   3. Selecteer Microsoft.IdentityModel.Clients.ActiveDirectory en kies vervolgens Installeren.
   

4. Voeg de volgende instructies toe bovenaan Program.cs:

   using Microsoft.IdentityModel.Clients.ActiveDirectory;
   using System.Net.Http;
   

5. Voeg een methode toe voor het maken van de autorisatie-header:

   private static async Task<string> GetAuthorizationHeader()
   {
       string applicationId = "<Your Application ID>";
       string authority = "https://login.microsoftonline.com/common/";
       Uri redirectUri = new Uri("urn:ietf:wg:oauth:2.0:oob");
       AuthenticationContext context = new AuthenticationContext(authority);
       AuthenticationResult result = await context.AcquireTokenAsync(
           "https://graph.microsoft.com",
           applicationId, redirectUri,
           new PlatformParameters(PromptBehavior.Auto));
       return result.CreateAuthorizationHeader();
   

   Vergeet niet de waarde te wijzigen van application_ID zodat deze overeenkomt met een waaraan ten minste het DeviceManagementManagedDevices.Read.All-machtigingsbereik is verleend, zoals eerder beschreven.

6. Voeg een methode toe voor het ophalen van de lijst met apparaten:

   private static async Task<string> GetMyManagedDevices()
   {
       string authHeader = await GetAuthorizationHeader();
       HttpClient graphClient = new HttpClient();
       graphClient.DefaultRequestHeaders.Add("Authorization", authHeader);
       return await graphClient.GetStringAsync(
           "https://graph.microsoft.com/beta/me/managedDevices");
   }
   

7. Werk Main bij om GetMyManagedDevices aan te roepen:

   string devices = GetMyManagedDevices().GetAwaiter().GetResult();
   Console.WriteLine(devices);
   

8. Compileer uw programma en voer dit uit.

Wanneer u het programma voor het eerst uitvoert, ontvangt u twee vragen. In de eerste wordt u gevraagd om uw referenties en de tweede verleent machtigingen voor de managedDevices-aanvraag.

Dit is het complete programma ter referentie:

using Microsoft.IdentityModel.Clients.ActiveDirectory;
using System;
using System.Net.Http;
using System.Threading.Tasks;

namespace IntuneGraphExample
{
    class Program
    {
        static void Main(string[] args)
        {
            string devices = GetMyManagedDevices().GetAwaiter().GetResult();
            Console.WriteLine(devices);
        }

        private static async Task<string> GetAuthorizationHeader()
        {
            string applicationId = "<Your Application ID>";
            string authority = "https://login.microsoftonline.com/common/";
            Uri redirectUri = new Uri("urn:ietf:wg:oauth:2.0:oob");
            AuthenticationContext context = new AuthenticationContext(authority);
            AuthenticationResult result = await context.AcquireTokenAsync("https://graph.microsoft.com", applicationId, redirectUri, new PlatformParameters(PromptBehavior.Auto));
            return result.CreateAuthorizationHeader();
        }

        private static async Task<string> GetMyManagedDevices()
        {
            string authHeader = await GetAuthorizationHeader();
            HttpClient graphClient = new HttpClient();
            graphClient.DefaultRequestHeaders.Add("Authorization", authHeader);
            return await graphClient.GetStringAsync("https://graph.microsoft.com/beta/me/managedDevices");
        }
    }
}

Azure AD verifiëren (PowerShell)

Voor het volgende PowerShell-script wordt de AzureAD PowerShell-module gebruikt voor de verificatie. Zie Azure Active Directory PowerShell versie 2 en de voorbeelden voor Intune PowerShell.

In dit voorbeeld werkt u de waarde bij $clientID zodat deze overeenkomt met een geldige toepassings-ID.

function Get-AuthToken {
    [cmdletbinding()]
    param
    (
        [Parameter(Mandatory = $true)]
        $User
    )

    $userUpn = New-Object "System.Net.Mail.MailAddress" -ArgumentList $User
    $tenant = $userUpn.Host

    Write-Host "Checking for AzureAD module..."

    $AadModule = Get-Module -Name "AzureAD" -ListAvailable
    if ($AadModule -eq $null) {
        Write-Host "AzureAD PowerShell module not found, looking for AzureADPreview"
        $AadModule = Get-Module -Name "AzureADPreview" -ListAvailable
    }

    if ($AadModule -eq $null) {
        write-host
        write-host "AzureAD Powershell module not installed..." -f Red
        write-host "Install by running 'Install-Module AzureAD' or 'Install-Module AzureADPreview' from an elevated PowerShell prompt" -f Yellow
        write-host "Script can't continue..." -f Red
        write-host
        exit
    }

    # Getting path to ActiveDirectory Assemblies
    # If the module count is greater than 1 find the latest version

    if ($AadModule.count -gt 1) {
        $Latest_Version = ($AadModule | select version | Sort-Object)[-1]
        $aadModule = $AadModule | ? { $_.version -eq $Latest_Version.version }
        $adal = Join-Path $AadModule.ModuleBase "Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
        $adalforms = Join-Path $AadModule.ModuleBase "Microsoft.IdentityModel.Clients.ActiveDirectory.Platform.dll"
    }

    else {
        $adal = Join-Path $AadModule.ModuleBase "Microsoft.IdentityModel.Clients.ActiveDirectory.dll"
        $adalforms = Join-Path $AadModule.ModuleBase "Microsoft.IdentityModel.Clients.ActiveDirectory.Platform.dll"
    }

    [System.Reflection.Assembly]::LoadFrom($adal) | Out-Null
    [System.Reflection.Assembly]::LoadFrom($adalforms) | Out-Null

    $clientId = "<Your Application ID>"
    $redirectUri = "urn:ietf:wg:oauth:2.0:oob"
    $resourceAppIdURI = "https://graph.microsoft.com"
    $authority = "https://login.microsoftonline.com/$Tenant"

    try {
        $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
        # https://msdn.microsoft.com/library/azure/microsoft.identitymodel.clients.activedirectory.promptbehavior.aspx
        # Change the prompt behaviour to force credentials each time: Auto, Always, Never, RefreshSession
        $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
        $userId = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.UserIdentifier" -ArgumentList ($User, "OptionalDisplayableId")
        $authResult = $authContext.AcquireTokenAsync($resourceAppIdURI, $clientId, $redirectUri, $platformParameters, $userId).Result
        # If the accesstoken is valid then create the authentication header
        if ($authResult.AccessToken) {
            # Creating header for Authorization token
            $authHeader = @{
                'Content-Type' = 'application/json'
                'Authorization' = "Bearer " + $authResult.AccessToken
                'ExpiresOn' = $authResult.ExpiresOn
            }
            return $authHeader
        }
        else {
            Write-Host
            Write-Host "Authorization Access Token is null, please re-run authentication..." -ForegroundColor Red
            Write-Host
            break
        }
    }
    catch {
        write-host $_.Exception.Message -f Red
        write-host $_.Exception.ItemName -f Red
        write-host
        break
    }   
}

$authToken = Get-AuthToken -User "<Your AAD Username>"

try {
    $uri = "https://graph.microsoft.com/beta/me/managedDevices"
    Write-Verbose $uri
    (Invoke-RestMethod -Uri $uri –Headers $authToken –Method Get).Value
}
catch {
    $ex = $_.Exception
    $errorResponse = $ex.Response.GetResponseStream()
    $reader = New-Object System.IO.StreamReader($errorResponse)
    $reader.BaseStream.Position = 0
    $reader.DiscardBufferedData()
    $responseBody = $reader.ReadToEnd();
    Write-Host "Response content:`n$responseBody" -f Red
    Write-Error "Request to $Uri failed with HTTP Status $($ex.Response.StatusCode) $($ex.Response.StatusDescription)"
    write-host
    break
}

Ondersteuning voor meerdere tenants en partners

Als uw organisatie ondersteuning biedt aan organisaties met hun eigen Azure AD-tenants, is het raadzaam om uw clients te machtigen voor het gebruik van uw toepassing met hun respectieve tenants.

Hiervoor doet u het volgende:

1. Controleer of de clientaccount bestaat in de doel-Azure AD-tenant.

2. Controleer of uw tenantaccount gebruikers toestaat om toepassingen te registreren (zie gebruikersinstellingen).

3. Breng een relatie tot stand tussen elke tenant.

   Hiervoor voert u een van de volgende acties uit:

   a. Gebruik de Microsoft Partner Center om een relatie vast te stellen met uw client en hun e-mailadres.

   b. Nodig de gebruiker uit een gast van uw tenant te worden.

De gebruiker uitnodigen een gast van uw tenant te zijn:

1. Kies Een gastgebruiker toevoegen in het deelvenster Snelle taken.

   

2. Voer het e-mailadres van de client in en voeg desgewenst een persoonlijk bericht toe voor de uitnodiging (optioneel).

   

3. Kies Uitnodigen.

Hierdoor wordt een uitnodiging verzonden naar de gebruiker.

De gebruiker moet de koppeling Aan de slag selecteren om de uitnodiging te accepteren.

Wanneer de relatie tot stand is gebracht (of uw uitnodiging is geaccepteerd), voegt u het gebruikersaccount toe aan de Directory-rol.

Vergeet indien van toepassing niet de gebruiker toe te voegen aan andere rollen. Om een gebruiker te machtigen instellingen voor Intune te beheren, moet deze Globale beheerder of Intune-servicebeheerder zijn.

Ook:

• Gebruiken om een Intune-licentie aan uw gebruikersaccount toe te voegen https://admin.microsoft.com .

• Werk de toepassingscode bij voor de verificatie van het Azure AD-tenantdomein van de klant, in plaats van uw eigen domein.

  Stel bijvoorbeeld dat uw tenant-domein contosopartner.onmicrosoft.com is en het domein van de tenant van uw client is northwind.onmicrosoft.com, dan zou u uw code bijwerken voor verificatie bij de tenant van de client.

  Als u dit wilt doen in een C#-toepassing op basis van het vorige voorbeeld, zou u de waarde wijzigen van de variabele authority:

  string authority = "https://login.microsoftonline.com/common/";
  

  in op

  string authority = "https://login.microsoftonline.com/northwind.onmicrosoft.com/";