Udělení souhlasu správce v rámci celého tenanta aplikaci

V tomto článku se dozvíte, jak udělit souhlas správce v rámci celého tenanta aplikaci v Microsoft Entra ID. Informace o konfiguraci nastavení souhlasu jednotlivých uživatelů najdete v tématu Konfigurace způsobu, jakým koncoví uživatelé souhlasí s aplikacemi.

Když udělíte souhlas správce v rámci celého tenanta aplikaci, udělíte aplikaci přístup k oprávněním požadovaným jménem celé organizace. Udělení souhlasu správce jménem organizace je citlivá operace, která může vydavateli aplikace umožnit přístup k významným částem dat vaší organizace nebo oprávnění k provádění vysoce privilegovaných operací. Příkladem takových operací může být správa rolí, úplný přístup ke všem poštovním schránkám nebo všem webům a úplná zosobnění uživatele. Proto je potřeba pečlivě zkontrolovat oprávnění, která aplikace požaduje, než udělíte souhlas.

Udělení souhlasu správce v rámci celého tenanta aplikaci ve výchozím nastavení umožňuje všem uživatelům přístup k aplikaci, pokud ji neomezíte jinak. Pokud chcete omezit, kteří uživatelé se můžou přihlásit k aplikaci, nakonfigurujte aplikaci tak, aby vyžadovala přiřazení uživatele, a pak k aplikaci přiřaďte uživatele nebo skupiny.

Důležité

Udělení souhlasu správce v rámci celého tenanta může odvolat oprávnění, která už byla udělena pro danou aplikaci. Na oprávnění, která už uživatelé udělili svým jménem, to neovlivní.

Požadavky

Pokud chcete udělit souhlas správce v rámci celého tenanta, musíte se přihlásit jako uživatel, který je oprávněný k udělování souhlasu jménem celé organizace.

Pokud chcete udělit souhlas správce celého tenanta, potřebujete:

• Uživatelský účet Microsoft Entra s jednou z následujících rolí:

  • Správce privilegovaných rolí pro udělení souhlasu pro aplikace, které požadují jakékoli oprávnění, pro jakékoli rozhraní API.
  • Správce cloudových aplikací nebo správce aplikací pro udělení souhlasu pro aplikace, které požadují jakékoli oprávnění pro jakékoli rozhraní API, s výjimkou rolí aplikací Microsoft Graphu (oprávnění aplikací).
  • Vlastní role adresáře, která zahrnuje oprávnění k udělení oprávnění aplikacím, pro oprávnění požadovaná aplikací.

Udělení souhlasu správce v rámci celého tenanta v podokně Podnikových aplikací

Souhlas správce v rámci celého tenanta můžete udělit v podokně Podnikových aplikací , pokud už je aplikace ve vašem tenantovi zřízená. Aplikace může být ve vašem tenantovi například zřízena, pokud už aplikaci udělil souhlas alespoň jeden uživatel. Další informace naleznete v tématu How and why applications are added to Microsoft Entra ID.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Udělení souhlasu správce v rámci celého tenanta aplikaci uvedené v podokně Podnikových aplikací :

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
4. V části Zabezpečení vyberte oprávnění.
5. Pečlivě zkontrolujte oprávnění, která aplikace vyžaduje. Pokud souhlasíte s oprávněními, která aplikace vyžaduje, vyberte Udělit souhlas správce.

Udělení souhlasu správce v podokně Registrace aplikací

Souhlas správce celého tenanta můžete udělit z Registrace aplikací v Centru pro správu Microsoft Entra pro aplikace, které vaše organizace vyvinula a zaregistrovala přímo ve vašem tenantovi Microsoft Entra.

Udělení souhlasu správce celého tenanta z Registrace aplikací:

1. V Centru pro správu Microsoft Entra přejděte na Aplikace> identit>Registrace aplikací> Všechny aplikace.
2. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
3. V části Spravovat vyberte oprávnění rozhraní API.
4. Pečlivě zkontrolujte oprávnění, která aplikace vyžaduje. Pokud souhlasíte, vyberte Udělit souhlas správce.

Vytvoření adresy URL pro udělení souhlasu správce v rámci celého tenanta

Když udělíte souhlas správce celého tenanta pomocí některé z metod popsaných v předchozí části, otevře se okno z Centra pro správu Microsoft Entra a zobrazí se výzva k zadání souhlasu správce v rámci celého tenanta. Pokud znáte ID klienta aplikace (označované také jako ID aplikace), můžete vytvořit stejnou adresu URL pro udělení souhlasu správce v rámci celého tenanta.

Adresa URL souhlasu správce v rámci celého tenanta má následující formát:

https://login.microsoftonline.com/{organization}/adminconsent?client_id={client-id}

kde:

• {client-id} je ID klienta aplikace (označované také jako ID aplikace).
• {organization} je ID tenanta nebo jakýkoli ověřený název domény tenanta, ve kterého chcete aplikaci odsouhlasit. Můžete použít hodnotu organizations, která způsobí, že se souhlas stane v domovském tenantovi uživatele, se kterým se přihlašujete.

Jako vždy před udělením souhlasu pečlivě zkontrolujte oprávnění, která aplikace požaduje.

Další informace o vytváření adresy URL souhlasu správce v rámci celého tenanta najdete v tématu Souhlas správce na platformě Microsoft Identity Platform.

Udělení souhlasu správce pro delegovaná oprávnění pomocí Prostředí Microsoft Graph PowerShell

V této části udělíte aplikaci delegovaná oprávnění. Delegovaná oprávnění jsou oprávnění, která vaše aplikace potřebuje pro přístup k rozhraní API jménem přihlášeného uživatele. Oprávnění jsou definována rozhraním API prostředků a udělena podnikové aplikaci, což je klientská aplikace. Tento souhlas se uděluje jménem všech uživatelů.

V následujícím příkladu je rozhraní API prostředku Microsoft Graph ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbobjektu . Rozhraní Microsoft Graph API definuje delegovaná oprávnění User.Read.All a Group.Read.All. ConsentType znamená AllPrincipals, že vyjadřujete souhlas jménem všech uživatelů v tenantovi. ID objektu klientské podnikové aplikace je aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

Upozornění

Dej si pozor! Oprávnění udělená prostřednictvím kódu programu nejsou předmětem kontroly ani potvrzení. Projeví se okamžitě.

1. Připojte se k Prostředí Microsoft Graph PowerShell a přihlaste se alespoň jako správce cloudových aplikací.

   Connect-MgGraph -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
   

2. Načtěte všechna delegovaná oprávnění definovaná aplikací Microsoft Graph (aplikace prostředků) ve vaší aplikaci tenanta. Určete delegovaná oprávnění, která potřebujete udělit klientské aplikaci. V tomto příkladu jsou User.Read.All oprávnění delegování a Group.Read.All

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
   

3. Spuštěním následujícího požadavku udělte delegovaná oprávnění klientské podnikové aplikaci.

   $params = @{
   
   "ClientId" = "00001111-aaaa-2222-bbbb-3333cccc4444"
   "ConsentType" = "AllPrincipals"
   "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
   "Scope" = "User.Read.All Group.Read.All"
   }
   
   New-MgOauth2PermissionGrant -BodyParameter $params | 
   Format-List Id, ClientId, ConsentType, ResourceId, Scope
   

4. Spuštěním následující žádosti potvrďte, že jste udělili souhlas správce celého tenanta.

 Get-MgOauth2PermissionGrant -Filter "clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'" 

Udělení souhlasu správce pro oprávnění aplikace pomocí Microsoft Graph PowerShellu

V této části udělíte oprávnění aplikace podnikové aplikaci. Oprávnění aplikace jsou oprávnění, která vaše aplikace potřebuje pro přístup k rozhraní API prostředků. Oprávnění jsou definována rozhraním API prostředků a udělena podnikové aplikaci, což je hlavní aplikace. Jakmile aplikaci udělíte přístup k rozhraní API prostředků, spustí se jako služba na pozadí nebo démon bez přihlášeného uživatele. Oprávnění aplikace se také označují jako role aplikací.

V následujícím příkladu udělíte aplikaci Microsoft Graph (instanční objekt ID aaaaaaaa-bbbb-cccc-1111-222222222222) roli aplikace (oprávnění aplikace) ID df021288-bdef-4463-88db-98f22de89214 , které je vystavené rozhraním API prostředku ID 11112222-bbbb-3333-cccc-4444dddd5555.

1. Připojte se k Prostředí Microsoft Graph PowerShell a přihlaste se alespoň jako správce privilegovaných rolí.

   Connect-MgGraph -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
   

2. Načtěte role aplikace definované microsoft graphem ve vašem tenantovi. Určete roli aplikace, kterou potřebujete udělit klientské podnikové aplikaci. V tomto příkladu je df021288-bdef-4463-88db-98f22de89214ID role aplikace .

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
   

3. Spuštěním následujícího požadavku udělte aplikaci oprávnění aplikace (roli aplikace) instanční aplikaci.

 $params = @{
  "PrincipalId" ="aaaaaaaa-bbbb-cccc-1111-222222222222"
  "ResourceId" = "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'aaaaaaaa-bbbb-cccc-1111-222222222222' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName

Pomocí Graph Exploreru udělte delegovaná oprávnění i oprávnění aplikace.

Udělení souhlasu správce pro delegovaná oprávnění pomocí rozhraní Microsoft Graph API

V této části udělíte aplikaci delegovaná oprávnění. Delegovaná oprávnění jsou oprávnění, která vaše aplikace potřebuje pro přístup k rozhraní API jménem přihlášeného uživatele. Oprávnění jsou definována rozhraním API prostředků a udělena podnikové aplikaci, což je klientská aplikace. Tento souhlas se uděluje jménem všech uživatelů.

Musíte se přihlásit alespoň jako správce cloudových aplikací.

V následujícím příkladu je rozhraní API prostředku Microsoft Graph ID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbobjektu . Rozhraní Microsoft Graph API definuje delegovaná oprávnění User.Read.All a Group.Read.All. ConsentType znamená AllPrincipals, že vyjadřujete souhlas jménem všech uživatelů v tenantovi. ID objektu klientské podnikové aplikace je aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

Upozornění

Dej si pozor! Udělená oprávnění prostřednictvím kódu programu podléhají kontrole ani potvrzení. Projeví se okamžitě.

1. Načtěte všechna delegovaná oprávnění definovaná aplikací Microsoft Graph (aplikace prostředků) ve vaší aplikaci tenanta. Určete delegovaná oprávnění, která potřebujete udělit klientské aplikaci. V tomto příkladu jsou User.Read.All oprávnění delegování a Group.Read.All

   GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,oauth2PermissionScopes
   

2. Spuštěním následujícího požadavku udělte delegovaná oprávnění klientské podnikové aplikaci.

   POST https://graph.microsoft.com/v1.0/oauth2PermissionGrants
   
   Request body
   {
      "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "consentType": "AllPrincipals",
      "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
      "scope": "User.Read.All Group.Read.All"
   }
   

3. Spuštěním následující žádosti potvrďte, že jste udělili souhlas správce celého tenanta.

   GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants?$filter=clientId eq '00001111-aaaa-2222-bbbb-3333cccc4444' and consentType eq 'AllPrincipals'
   

Udělení souhlasu správce pro oprávnění aplikace pomocí rozhraní Microsoft Graph API

V této části udělíte oprávnění aplikace podnikové aplikaci. Oprávnění aplikace jsou oprávnění, která vaše aplikace potřebuje pro přístup k rozhraní API prostředků. Oprávnění jsou definována rozhraním API prostředků a udělena podnikové aplikaci, což je hlavní aplikace. Jakmile aplikaci udělíte přístup k rozhraní API prostředků, spustí se jako služba na pozadí nebo démon bez přihlášeného uživatele. Oprávnění aplikace se také označují jako role aplikací.

V následujícím příkladu udělíte aplikaci Microsoft Graph (instanční objekt ID 00001111-aaaa-2222-bbbb-3333cccc4444) roli aplikace (oprávnění aplikace) ID df021288-bdef-4463-88db-98f22de89214 , které je vystavené aplikací organizace prostředku s ID 11112222-bbbb-3333-cccc-4444dddd5555.

Musíte se přihlásit alespoň jako správce privilegovaných rolí.

1. Načtěte role aplikace definované microsoft graphem ve vašem tenantovi. Určete roli aplikace, kterou potřebujete udělit klientské podnikové aplikaci. V tomto příkladu je ID role aplikace df021288-bdef-4463-88db-98f22de89214

   GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=displayName eq 'Microsoft Graph'&$select=id,displayName,appId,appRoles
   

2. Spuštěním následujícího požadavku udělte aplikaci oprávnění aplikace (roli aplikace) instanční aplikaci.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555/appRoleAssignedTo
   
   Request body
   
   {
      "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
      "appRoleId": "df021288-bdef-4463-88db-98f22de89214"
   }
   

Další kroky

• Nakonfigurujte, jak koncoví uživatelé souhlasí s aplikacemi.
• Nakonfigurujte pracovní postup souhlasu správce.