Condividi tramite


Creare un'applicazione aziendale da un'applicazione multi-tenant in Microsoft Entra ID

Questo articolo illustra come creare un'applicazione aziendale nel tenant usando l'ID client per un'applicazione multi-tenant. Un'applicazione aziendale fa riferimento a un'entità servizio all'interno di un tenant. L'entità servizio descritta in questo articolo è la rappresentazione locale, o l'istanza dell'applicazione, di un oggetto applicazione globale in un singolo tenant o directory.

Prima di procedere con l'aggiunta dell'applicazione usando una di queste opzioni, verificare se l'applicazione aziendale è già presente nel tenant provando ad accedere all'applicazione. Se l'accesso ha esito positivo, l'applicazione aziendale esiste già nel tenant.

Se si è verificato che l'applicazione non è presente nel tenant, procedere con uno dei modi seguenti per aggiungere l'applicazione aziendale al tenant.

Prerequisiti

Per aggiungere un'applicazione aziendale al tenant di Microsoft Entra, è necessario:

  • Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione.
  • ID client (detto anche appId in Microsoft Graph) dell'applicazione multi-tenant.

Creare un'applicazione aziendale

Se è stato fornito l'URL del consenso amministratore, passare all'URL tramite un Web browser per concedere il consenso amministratore a livello di tenant all'applicazione. La concessione del consenso amministratore a livello di tenant all'applicazione lo aggiungerà al tenant. L'URL del consenso amministratore a livello di tenant ha il formato seguente:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com

Dove:

  • {client-id} è l'ID client dell'applicazione (noto anche come appId).

Nota

Se si tenta di usare un'applicazione aziendale e l'entità servizio non è ancora stata creata nel tenant, Entra risponderà con un errore (401) Non autorizzato che indica: "L'applicazione client {appId} non è presente nell'entità servizio nel tenant {tenantId}". Per risolvere questo problema, l'esecuzione del consenso con l'URL del consenso amministratore, come indicato in precedenza, creerà un'istanza dell'entità servizio nel tenant e risolverà il problema.

  1. Eseguire connect-MgGraph -Scopes "Application.ReadWrite.All" ed eseguire l'accesso con almeno un ruolo di amministratore dell'applicazione cloud.

  2. Eseguire il comando seguente per creare l'applicazione aziendale:

    New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
    
  3. Per eliminare l'applicazione aziendale creata, eseguire il comando :

    Remove-MgServicePrincipal
       -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
    
    

È possibile usare un client API come Graph Explorer per usare Microsoft Graph.

  1. Concedere all'app client l'autorizzazione Application.ReadWrite.All .

  2. Per creare l'applicazione aziendale, eseguire la query seguente. AppId è l'ID client dell'applicazione.

    POST https://graph.microsoft.com/v1.0/servicePrincipals
    Content-type: application/json
    
    {
      "appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
    }
    
    
  3. Per eliminare l'applicazione aziendale creata, eseguire la query.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
    
  1. Per creare l'applicazione aziendale, eseguire il comando seguente:

    az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
    
  2. Per eliminare l'applicazione aziendale creata, eseguire il comando :

    az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc
    
    

Passaggi successivi