Microsoft Entra -käyttöoikeudet

Kun rekisteröit Microsoft Entra -sovelluksesi, myönnät sille käyttöoikeuden erilaisiin ohjelmointirajapintoihin. Saatat haluta muuttaa näitä käyttöoikeuksia tarpeidesi mukaisesti. Tässä artikkelissa kerrotaan, miten.

Muistiinpano

Microsoft Entra -sovelluksen käyttöoikeudet soveltuvat vain seuraaviin tilanteisiin:

• Upottaminen organisaatiollesi
• Upottaminen asiakkaille pääkäyttäjän todentamismenetelmän avulla

Microsoft Entra -sovelluksen käyttöoikeusasetusten muokkaaminen

Käyttöoikeusmuutokset voidaan tehdä ohjelmallisesti tai Azure-portaali.

Azure-portaali

Azure-portaali voit tarkastella sovellustasi ja tehdä muutoksia sen käyttöoikeuksiin.

1. Kirjaudu Azure-portaaliin.

2. Valitse Microsoft Entra -vuokraajasi valitsemalla tili sivun oikeassa yläkulmassa.

3. Valitse Sovelluksen rekisteröinnit. Jos et näe tätä vaihtoehtoa, etsi se.

4. Valitse Omistetut sovellukset -välilehdestä sovelluksesi. Sovellus avautuu Yleiskatsaus-välilehteen, jossa voit tarkastella sovellustunnusta.

5. Valitse Näytä ohjelmointirajapinnan käyttöoikeudet -välilehti.

   

6. Valitse Lisää oikeus.

7. Jos haluat lisätä käyttöoikeuksia, toimi seuraavasti (huomaa, että ensimmäinen vaihe on erilainen GCC-sovelluksissa):

   1. Valitse Microsoftin ohjelmointirajapinnat -välilehdeltä Power BI -palvelu.

      Muistiinpano

      GCC-sovelluksia varten valitse organisaationi käyttämät ohjelmointirajapinnat -välilehti ja hae joko Microsoft Power BI Government Community Cloud OR fc4979e5-0aa5-429f-b13a-5d1365be55566.

   2. Valitse Delegoidut käyttöoikeudet ja lisää tai poista tiettyjä käyttöoikeuksia, joita tarvitset.

   3. Kun olet valmis, tallenna muutokset valitsemalla Lisää käyttöoikeudet .

8. Jos haluat poistaa käyttöoikeuden, toimi seuraavasti:

   1. Valitse kolme pistettä (...) käyttöoikeuden oikealla puolella.

   2. Valitse Poista käyttöoikeus.

   3. Valitse Poista käyttöoikeus -ponnahdusikkunassa Kyllä, poista.

HTTP

Jos haluat muuttaa Microsoft Entra -sovelluksesi käyttöoikeuksia ohjelmallisesti, sinun on hankittava vuokraajasi olemassa olevat palvelun pääobjektit (käyttäjät). Lisätietoja tämän tekemisestä on artikkelissa servicePrincipal.

1. Jos haluat saada kaikki vuokraajassa olevat palvelun päänimet, kutsu Get servicePrincipal -ohjelmointirajapintaa ilman parametria {ID}.

2. Voit tarkistaa palvelun päänimen sovelluksen sovellustunnuksella -ominaisuuden appId avulla. (displayName on valinnainen.)

   Post https://graph.microsoft.com/v1.0/servicePrincipals HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "accountEnabled" : true,
   "appId" : "{App_Client_ID}",
   "displayName" : "{App_DisplayName}"
   }
   

3. Myönnä Power BI -käyttöoikeudet sovellukseesi määrittämällä jokin seuraavista arvoista kohteeseen consentType:

   • AllPrincipals – Arvoa voi käyttää vain Power BI -järjestelmänvalvoja myöntääkseen käyttöoikeuksia vuokraajan kaikkien käyttäjien puolesta.

   • Principal – :n avulla voit myöntää käyttöoikeuksia tietyn käyttäjän puolesta. Jos käytät tätä vaihtoehtoa, lisää principalId={User_ObjectId} ominaisuus pyynnön runkoon.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "scope":"Dataset.ReadWrite.All Dashboard.Read.All Report.Read.All Group.Read Group.Read.All Content.Create Metadata.View_Any Dataset.Read.All Data.Alter_Any",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

   Muistiinpano

   • Jos käytät pääkäyttäjää , jotta Microsoft Entra -tunnus ei pyydä pääkäyttäjältä lupaa, sinun on myönnettävä käyttöoikeudet pääkäyttäjän tiliin.
   • resourceId c78a3685-1ce7-52cd-95f7-dc5aea8ec98e on vuokraajakohtainen, ei yleiskäyttöinen. Tämä arvo on Power BI -palvelusovelluksen objectId-tunnus Microsoft Entra -tunnuksessa. Jos haluat saada tämän arvon Azure-portaali, siirry kohtaan Yrityssovellukset > Kaikki sovellukset ja etsi Power BI -palvelu.

4. Myönnä sovelluksen käyttöoikeudet Microsoft Entra -tunnukseen määrittämällä -arvo kohteelle consentType.

   Post https://graph.microsoft.com/v1.0/OAuth2PermissionGrants HTTP/1.1
   Authorization: Bearer ey..qw
   Content-Type: application/json
   {
   "clientId":"{Service_Plan_ID}",
   "consentType":"AllPrincipals",
   "resourceId":"a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
   "scope":"User.Read Directory.AccessAsUser.All",
   "expiryTime":"2018-03-29T14:35:32.4943409+03:00",
   "startTime":"2017-03-29T14:35:32.4933413+03:00"
   }
   

C#

Voit muuttaa Microsoft Entra -sovelluksesi käyttöoikeuksia myös C#:n avulla. Lisätietoja on oAuth2PermissionGrant-ohjelmointirajapinnassa. Tästä menetelmästä voi olla hyötyä, jos aiot automatisoida joitakin prosessejasi.

var graphClient = GetGraphClient();

currentState.createdApp = await graphClient.Applications
    .Request()
    .AddAsync(application);

System.Threading.Thread.Sleep(2000);

var passwordCredential = new PasswordCredential
{
    DisplayName = "Client Secret Created in C#"
};

currentState.createdSecret = await graphClient.Applications[currentState.createdApp.Id]
    .AddPassword(passwordCredential)
    .Request()
    .PostAsync();

var servicePrincipal = new ServicePrincipal
{
    AppId = currentState.createdApp.AppId
};

currentState.createdServicePrincipal = await graphClient.ServicePrincipals
    .Request()
    .AddAsync(servicePrincipal);

GraphServiceClient graphClient = new GraphServiceClient(authProvider);

// Use oAuth2PermissionGrant to change permissions
var oAuth2PermissionGrant = await graphClient.Oauth2PermissionGrants["{id}"]
               .Request()
               .GetAsync();

Liittyvä sisältö

• Huomioitavaa upotustunnuksen muodostamisessa
• Kapasiteetti ja SKU Power BI:n upotetussa analytiikassa