Creare un'applicazione aziendale da un'applicazione multi-tenant in Microsoft Entra ID
Questo articolo illustra come creare un'applicazione aziendale nel tenant usando l'ID client per un'applicazione multi-tenant. Un'applicazione aziendale fa riferimento a un'entità servizio all'interno di un tenant. L'entità servizio descritta in questo articolo è la rappresentazione locale, o l'istanza dell'applicazione, di un oggetto applicazione globale in un singolo tenant o directory.
Prima di procedere con l'aggiunta dell'applicazione usando una di queste opzioni, verificare se l'applicazione aziendale è già presente nel tenant provando ad accedere all'applicazione. Se l'accesso ha esito positivo, l'applicazione aziendale esiste già nel tenant.
Se si è verificato che l'applicazione non è presente nel tenant, procedere con uno dei modi seguenti per aggiungere l'applicazione aziendale al tenant.
Prerequisiti
Per aggiungere un'applicazione aziendale al tenant di Microsoft Entra, è necessario:
- Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
- Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione.
- ID client (detto anche appId in Microsoft Graph) dell'applicazione multi-tenant.
Creare un'applicazione aziendale
Se è stato fornito l'URL del consenso amministratore, passare all'URL tramite un Web browser per concedere il consenso amministratore a livello di tenant all'applicazione. La concessione del consenso amministratore a livello di tenant all'applicazione lo aggiungerà al tenant. L'URL del consenso amministratore a livello di tenant ha il formato seguente:
https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com
Dove:
{client-id}
è l'ID client dell'applicazione (noto anche come appId).
Nota
Se si tenta di usare un'applicazione aziendale e l'entità servizio non è ancora stata creata nel tenant, Entra risponderà con un errore (401) Non autorizzato che indica: "L'applicazione client {appId} non è presente nell'entità servizio nel tenant {tenantId}". Per risolvere questo problema, l'esecuzione del consenso con l'URL del consenso amministratore, come indicato in precedenza, creerà un'istanza dell'entità servizio nel tenant e risolverà il problema.
Eseguire
connect-MgGraph -Scopes "Application.ReadWrite.All"
ed eseguire l'accesso con almeno un ruolo di amministratore dell'applicazione cloud.Eseguire il comando seguente per creare l'applicazione aziendale:
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
Per eliminare l'applicazione aziendale creata, eseguire il comando :
Remove-MgServicePrincipal -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
È possibile usare un client API come Graph Explorer per usare Microsoft Graph.
Concedere all'app client l'autorizzazione
Application.ReadWrite.All
.Per creare l'applicazione aziendale, eseguire la query seguente. AppId è l'ID client dell'applicazione.
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "00001111-aaaa-2222-bbbb-3333cccc4444" }
Per eliminare l'applicazione aziendale creata, eseguire la query.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
Per creare l'applicazione aziendale, eseguire il comando seguente:
az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
Per eliminare l'applicazione aziendale creata, eseguire il comando :
az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc