Konfigurieren des Anwendungszugriffs auf Onlinebesprechungen oder virtuelle Ereignisse
Damit Apps auf einige Cloudkommunikations-APIs mit Anwendungsberechtigungen zugreifen können, müssen Mandantenadministratoren zusätzlich zu den Microsoft Graph-Anwendungsberechtigungen eine Anwendungszugriffsrichtlinie konfigurieren. Weitere Informationen finden Sie unter Unterstützte Anwendungsberechtigungen.
In den folgenden Abschnitten werden die beiden Hauptszenarien beschrieben, die eine Anwendungszugriffsrichtlinie erfordern.
Zulassen, dass Anwendungen im Namen eines Benutzers auf Onlinebesprechungen zugreifen können
In einigen Fällen, z. B. Hintergrunddienste oder Daemon-Apps, die auf einem Server ohne angemeldeten Benutzer ausgeführt werden, ist es akzeptabel, dass eine App Microsoft Graph aufruft und Aktionen im Namen eines Benutzers ausführt. Eine App kann beispielsweise erfordern, dass Microsoft Graph mehrere Besprechungen basierend auf veröffentlichten Zeitplänen (z. B. Kursen) oder externen Planungstools plant. In solchen Situationen kann die Anwendung im Namen eines beliebigen Benutzers handeln. Daher ist es wichtig sicherzustellen, dass der Benutzer über die erforderlichen Berechtigungen verfügt, z. B. als Organisator oder Mitorganisator, um auf die Onlinebesprechung zuzugreifen.
Zulassen, dass Anwendungen auf virtuelle Ereignisse zugreifen können, die vom Benutzer erstellt wurden
In Fällen, in denen ein angemeldeter Benutzer nicht angezeigt wird, kann eine App Microsoft Graph aufrufen, um mithilfe von Anwendungsberechtigungen auf ein virtuelles Ereignis zuzugreifen. Beispielsweise kann eine App Microsoft Graph aufrufen, um ein virtuelles Ereignis, das ein Benutzer erstellt hat, nachzuschlagen oder Anwesenheitsberichte zu einem virtuellen Ereignis abzurufen, das vom Benutzer erstellt wurde, ohne die delegierten Berechtigungen dieses Benutzers zu verwenden. In diesen Fällen muss der Benutzer der Organisator dieses virtuellen Ereignisses sein.
Führen Sie die folgenden Schritte aus, um eine Anwendungszugriffsrichtlinie für Cloudkommunikationsressourcen wie Onlinebesprechungen und virtuelle Ereignisse zu konfigurieren. Diese Schritte gelten nicht für andere Microsoft Graph-Ressourcen.
Vergleichen der Anwendungszugriffsrichtlinie für Onlinebesprechungen und virtuelle Ereignisse
In der folgenden Tabelle werden die Anwendungszugriffsrichtlinien für Onlinebesprechungen und virtuelle Ereignisse in verschiedenen Szenarien mit zwei Benutzern verglichen. Diese Szenarien umfassen zwei Benutzer (user_1 und user_2) sowie die folgenden Anwendungszugriffsrichtlinien:
- Policy_1 enthält eine App-ID (app_1)
- Policy_2 enthält eine App-ID (app_2)
- Policy_3 enthält beide App-IDs (app_1 und app_2)
Szenario | Onlinebesprechung | Virtuelles Ereignis |
---|---|---|
policy_1user_1 zugewiesen ist , wird policy_2user_2 |
app_1 können nur als user_1 auf Onlinebesprechungen zugreifen. app_2 können nur als user_2 auf Onlinebesprechungen zugreifen. |
app_1 können nur auf virtuelle Ereignisse zugreifen, die von user_1 erstellt wurden. app_2 können nur auf virtuelle Ereignisse zugreifen, die von user_2 erstellt wurden. |
policy_1 wird user_1 und user_2 zugewiesen |
app_1 können wie user_1 auf Onlinebesprechungen zugreifen. app_1 können wie user_2 auf Onlinebesprechungen zugreifen. |
app_1 können auf virtuelle Ereignisse zugreifen, die von user_1 erstellt wurden. app_1 können auf virtuelle Ereignisse zugreifen, die von user_2 erstellt wurden. |
policy_3user_1 zugewiesen ist, wird user_2 keine Richtlinie zugewiesen . |
app_1 und app_2 können als user_1 auf Onlinebesprechung zugreifen. Keine App kann auf Onlinebesprechung zugreifen, da user_2 |
app_1 und app_2 können auf virtuelle Ereignisse zugreifen, die von user_1 erstellt wurden . Keine App kann auf virtuelle Ereignisse zugreifen, die von user_2 erstellt wurden |
policy_3 dem gesamten Mandanten zugewiesen ist | Sowohl app_1 als auch app_2 können als user_1 oder user_2 auf Onlinebesprechungen zugreifen. | Sowohl app_1 als auch app_2 können auf virtuelle Ereignisse zugreifen, die von user_1 oder user_2 |
Konfigurieren der Anwendungszugriffsrichtlinie
So konfigurieren Sie eine Anwendungszugriffsrichtlinie und erlauben Anwendungen den Zugriff auf Onlinebesprechungen mit Anwendungsberechtigungen:
Identifizieren Sie die Anwendungs-ID (Client) der App und die Benutzer-IDs der Benutzer, für die die App für den Zugriff auf Onlinebesprechungen autorisiert wird.
- Identifizieren Sie die Anwendungs-ID (Client) der App auf der App-Registrierungsseite des Microsoft Entra Admin Center>.
- Identifizieren Sie die Benutzer-ID (Objekt) des Benutzers auf der Seite für die Benutzerverwaltung im Microsoft Entra Admin Center>.
Stellen Sie eine Verbindung mit Skype for Business PowerShell mit einem Administratorkonto her. Weitere Informationen finden Sie unter Verwalten von Skype for Business Online mit PowerShell.
Erstellen Sie eine Anwendungszugriffsrichtlinie, die eine Liste von App-IDs enthält.
Führen Sie das folgende Cmdlet aus, und ersetzen Sie dabei die Argumente Identity, AppIds und Description (optional).
New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
Gewähren Sie dem Benutzer die Richtlinie, damit die in der Richtlinie enthaltenen App-IDs auf 1) Onlinebesprechungen im Namen des gewährten Benutzers und 2) virtuelle Ereignisse zugreifen können, die vom gewährten Benutzer erstellt wurden.
Führen Sie das folgende Cmdlet aus, und ersetzen Sie dabei die Argumente PolicyName und Identity .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"
(Optional) Erteilen Sie die Richtlinie dem gesamten Mandanten. Dies gilt für Benutzer, denen keine Anwendungszugriffsrichtlinie zugewiesen ist. Weitere Informationen finden Sie unter den Cmdlet-Links im Abschnitt Verwandte Inhalte .
Führen Sie das folgende Cmdlet aus, und ersetzen Sie dabei das Argument PolicyName .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
Hinweis
- Identität bezieht sich beim Erstellen der Richtlinie auf den Richtliniennamen, aber auf die Benutzer-ID beim Erteilen der Richtlinie.
- Wenn Sie die Richtlinie erteilen, wird sie sowohl auf Onlinebesprechungen als auch auf virtuelle Ereignisse angewendet. Wenn Sie Onlinebesprechungen und virtuelle Ereignisse lieber separat verwalten möchten, empfiehlt es sich, zwei separate Anwendungen zu verwenden.
- Änderungen an Anwendungszugriffsrichtlinien können bis zu 30 Minuten dauern, bis sie in Aufrufen der Microsoft Graph-REST-API wirksam werden.
Unterstützte Berechtigungen und weitere Ressourcen
Administratoren können ApplicationAccessPolicy-Cmdlets verwenden, um den Zugriff auf Onlinebesprechungen und virtuelle Ereignisse für eine App zu steuern, der eine der folgenden Anwendungsberechtigungen erteilt wurde:
- OnlineMeetings.Read.All
- OnlineMeetings.ReadWrite.All
- OnlineMeetingArtifact.Read.All
- OnlineMeetingTranscript.Read.All
- OnlineMeetingRecording.Read.All
- VirtualEvent.Read.All
Weitere Informationen zum Konfigurieren von Zugriffsrichtlinien für Anwendungen finden Sie unter Referenz für PowerShell-Cmdlets für New-ApplicationAccessPolicy.
Fehler
Wenn Sie versuchen, mit einem API-Aufruf auf eine Onlinebesprechung oder ein virtuelles Ereignis zuzugreifen, ohne die Anwendungszugriffsrichtlinie zu konfigurieren, tritt möglicherweise der folgende Fehler auf:
{
"error": {
"code": "Forbidden",
"message": "No application access policy found for this app",
"innerError": {
"date": "<date_redacted>",
"request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
}
}
}
Führen Sie die Schritte in diesem Artikel aus, um eine Anwendungszugriffsrichtlinie zu erstellen und/oder zu gewähren, die die App-ID für die Benutzer-ID enthält.