Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этой статьи вы узнаете, как создать корпоративное приложение в клиенте с помощью идентификатора клиента для мультитенантного приложения. Корпоративное приложение — это субъект-служба в арендаторе. Субъекта-служба, описанный в этой статье, является локальным представлением (экземпляром приложения) глобального объекта приложения в одном арендаторе или каталоге.
Прежде чем приступить к добавлению приложения с помощью любого из этих вариантов, проверьте, присутствует ли уже корпоративное приложение в арендаторе, выполнив попытку входа в приложение. Если вход выполнен успешно, корпоративное приложение уже существует в арендаторе.
Если вы убедитесь, что приложение не в вашем клиенте, выполните следующие действия, чтобы добавить корпоративное приложение в клиент.
Необходимые компоненты
Чтобы добавить корпоративное приложение в клиент Microsoft Entra, вам потребуется:
- Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей: администратор облачных приложений или администратор приложений.
- Идентификатор клиента (также называемый appId в Microsoft Graph) мультитенантного приложения.
Создание корпоративного приложения
Если вам был предоставлен URL-адрес согласия администратора, перейдите по URL-адресу через веб-браузер, чтобы предоставить приложению согласие администратора на уровне арендатора. Предоставление согласия администратора на уровне всего клиента приложению включает его в ресурсы вашего клиента. URL-адрес согласия администратора на уровне арендатора имеет следующий формат:
https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com
Где:
-
{client-id}представляет собой идентификатор клиента приложения (также известный как appId).
Примечание.
Если вы пытаетесь использовать корпоративное приложение, а служебный объект еще не создан в вашем клиенте, Microsoft Entra ответит с ошибкой (401) Несанкционированный доступ, указывая: "Клиентскому приложению {appId} не хватает служебного объекта в клиенте {tenantId}". Чтобы устранить эту проблему, выполните предоставление согласия, используя URL-адрес согласия администратора, как было упомянуто ранее, что создаст служебный объект в вашем клиенте и решит проблему.
Запустите
connect-MgGraph -Scopes "Application.ReadWrite.All"и войдите по крайней мере с ролью администратора облачных приложений.Выполните следующую команду, чтобы создать корпоративное приложение:
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444Чтобы удалить созданное корпоративное приложение, выполните следующую команду:
Remove-MgServicePrincipal -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
Для работы с Microsoft Graph можно использовать клиент API, например Graph Explorer .
Предоставьте клиентскому приложению
Application.ReadWrite.Allразрешение.Чтобы создать корпоративное приложение, выполните следующий запрос. Идентификатор приложения — это идентификатор клиента приложения.
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "00001111-aaaa-2222-bbbb-3333cccc4444" }Чтобы удалить созданное корпоративное приложение, выполните запрос.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
Чтобы создать корпоративное приложение, выполните следующую команду:
az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444Чтобы удалить созданное корпоративное приложение, выполните следующую команду:
az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc