Partilhar via


Registar uma aplicação do Microsoft Graph

O Microsoft Graph permite que você gerencie muitos dos recursos em seu locatário do Azure AD B2C, incluindo contas de usuário de clientes e políticas personalizadas. Ao escrever scripts ou aplicativos que chamam a API do Microsoft Graph, você pode automatizar tarefas de gerenciamento de locatários como:

  • Migrar um repositório de usuário existente para um locatário do Azure AD B2C
  • Implantar políticas personalizadas com um Pipeline do Azure no Azure DevOps e gerenciar chaves de política personalizadas
  • Hospede o registro de usuário em sua própria página e crie contas de usuário em seu diretório do Azure AD B2C nos bastidores
  • Automatize o registro de aplicativos
  • Obter logs de auditoria

As seções a seguir ajudam você a se preparar para usar a API do Microsoft Graph para automatizar o gerenciamento de recursos em seu diretório do Azure AD B2C.

Modos de interação da API do Microsoft Graph

Há dois modos de comunicação que você pode usar ao trabalhar com a API do Microsoft Graph para gerenciar recursos em seu locatário do Azure AD B2C:

  • Interativo - Apropriado para tarefas de execução única, você usa uma conta de administrador no locatário B2C para executar as tarefas de gerenciamento. Esse modo requer que um administrador entre usando suas credenciais antes de chamar a API do Microsoft Graph.

  • Automatizado - Para tarefas agendadas ou executadas continuamente, esse método usa uma conta de serviço que você configura com as permissões necessárias para executar tarefas de gerenciamento. Você cria a "conta de serviço" no Azure AD B2C registrando um aplicativo que seus aplicativos e scripts usam para autenticação usando sua ID de Aplicativo (Cliente) e a concessão de credenciais de cliente OAuth 2.0. Nesse caso, o aplicativo age como ele mesmo para chamar a API do Microsoft Graph, não o usuário administrador como no método interativo descrito anteriormente.

Você habilita o cenário de interação automatizada criando um registro de aplicativo mostrado nas seções a seguir.

O serviço de autenticação do Azure AD B2C dá suporte direto ao fluxo de concessão de credenciais de cliente OAuth 2.0 (atualmente em visualização pública), mas você não pode usá-lo para gerenciar seus recursos do Azure AD B2C por meio da API do Microsoft Graph. No entanto, você pode configurar o fluxo de credenciais do cliente usando a ID do Microsoft Entra e o ponto de extremidade da plataforma /token de identidade da Microsoft para um aplicativo em seu locatário do Azure AD B2C.

Aplicação de gestão de registos

Antes que seus scripts e aplicativos possam interagir com a API do Microsoft Graph para gerenciar recursos do Azure AD B2C, você precisa criar um registro de aplicativo em seu locatário do Azure AD B2C que conceda as permissões de API necessárias.

  1. Inicie sessão no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
  3. No portal do Azure, procure e selecione Azure AD B2C.
  4. Selecione Registos de aplicações e, em seguida, selecione Novo registo.
  5. Insira um Nome para o aplicativo. Por exemplo, managementapp1.
  6. Selecione Contas somente neste diretório organizacional.
  7. Em Permissões, desmarque a caixa de seleção Conceder consentimento de administrador para permissões openid e offline_access .
  8. Selecione Registar.
  9. Registre o ID do aplicativo (cliente) que aparece na página de visão geral do aplicativo. Você usa esse valor em uma etapa posterior.

Conceder acesso à API

Para que seu aplicativo acesse dados no Microsoft Graph, conceda ao aplicativo registrado as permissões de aplicativo relevantes. As permissões efetivas do seu aplicativo são o nível completo de privilégios implícitos pela permissão. Por exemplo, para criar, ler, atualizar e excluir todos os usuários em seu locatário do Azure AD B2C, adicione a permissão User.ReadWrite.All.

Nota

A permissão User.ReadWrite.All não inclui a capacidade de atualizar senhas de conta de usuário. Se o seu aplicativo precisar atualizar as senhas da conta de usuário, conceda a função de administrador do usuário. Ao conceder a função de administrador de usuário, o User.ReadWrite.All não é necessário. A função de administrador de usuários inclui tudo o que é necessário para gerenciar usuários.

Você pode conceder ao seu aplicativo várias permissões de aplicativo. Por exemplo, se seu aplicativo também precisar gerenciar grupos em seu locatário do Azure AD B2C, adicione a permissão Group.ReadWrite.All também.

Registos de aplicações

  1. Em Gerenciar, selecione Permissões de API.
  2. Em Permissões configuradas, selecione Adicionar uma permissão.
  3. Selecione a guia APIs da Microsoft e, em seguida, selecione Microsoft Graph.
  4. Selecione Permissões de aplicação.
  5. Expanda o grupo de permissões apropriado e marque a caixa de seleção da permissão a ser concedida ao seu aplicativo de gerenciamento. Por exemplo:
    • User User.ReadWrite.All>: Para cenários de migração de usuários ou gerenciamento de usuários.
    • Grupo>Group.ReadWrite.All: Para criar grupos, leia e atualize associações de grupo e exclua grupos.
    • AuditLog>AuditLog.Read.All: Para ler os logs de auditoria do diretório.
    • Policy Policy.ReadWrite.TrustFramework>: Para cenários de integração contínua/entrega contínua (CI/CD). Por exemplo, implantação de política personalizada com o Azure Pipelines.
  6. Selecione Adicionar permissões. Conforme indicado, aguarde alguns minutos antes de prosseguir para a próxima etapa.
  7. Selecione Conceder consentimento de administrador para (seu nome de locatário).
  8. Entre com uma conta em seu locatário do Azure AD B2C que tenha a função de Administrador de Aplicativo de Nuvem atribuída a ele e selecione Conceder consentimento de administrador para (seu nome de locatário).
  9. Selecione Atualizar e, em seguida, verifique se "Concedido para..." aparece em Status. Pode levar alguns minutos para que as permissões se propaguem.

[Opcional] Conceder função de administrador de usuário

Se seu aplicativo ou script precisar atualizar as senhas dos usuários, você precisará atribuir a função de administrador de usuário ao seu aplicativo. A função de administrador de usuário tem um conjunto fixo de permissões que você concede ao seu aplicativo.

Para adicionar a função de administrador de utilizador, siga estes passos:

  1. Inicie sessão no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
  3. Procure e selecione Azure AD B2C.
  4. Em Gerir, selecione Funções e administradores.
  5. Selecione a função Administrador de usuário .
  6. Selecione Adicionar atribuições.
  7. Na caixa de texto Selecionar, digite o nome ou a ID do aplicativo que você registrou anteriormente, por exemplo, managementapp1. Quando aparecer nos resultados da pesquisa, selecione a sua aplicação.
  8. Selecione Adicionar. Pode levar alguns minutos para que as permissões se propaguem totalmente.

Criar segredo do cliente

Seu aplicativo precisa de um segredo do cliente para provar sua identidade ao solicitar um token. Para adicionar o segredo do cliente, siga estes passos:

  1. Em Gerenciar, selecione Segredos de certificados&.
  2. Selecione Novo segredo do cliente.
  3. Insira uma descrição para o segredo do cliente na caixa Descrição . Por exemplo, clientsecret1.
  4. Em Expira, selecione uma duração para a qual o segredo é válido e, em seguida, selecione Adicionar.
  5. Registre o valor do segredo. Use esse valor para configuração em uma etapa posterior.

Próximos passos

Agora que você registrou seu aplicativo de gerenciamento e concedeu as permissões necessárias, seus aplicativos e serviços (por exemplo, Azure Pipelines) podem usar suas credenciais e permissões para interagir com a API do Microsoft Graph.