Поделиться через


Настройка доступа приложений к собраниям по сети или виртуальным событиям

Чтобы приложения получают доступ к некоторым API-интерфейсам облачной коммуникации с разрешениями приложений, в дополнение к разрешениям приложений Microsoft Graph администраторы клиентов должны настроить политику доступа к приложениям. Дополнительные сведения см. в разделе Поддерживаемые разрешения приложений.

В следующих разделах описаны два основных сценария, для которых требуется политика доступа к приложениям.

Разрешить приложениям доступ к собраниям по сети от имени пользователя

В некоторых случаях, таких как фоновые службы или управляющие приложения, запущенные на сервере без вошедшего пользователя, приложение может вызывать Microsoft Graph и выполнять действия от имени пользователя. Например, приложению может потребоваться, чтобы Microsoft Graph планировал несколько собраний на основе опубликованных расписаний (например, курсов) или внешних средств планирования. В таких ситуациях приложение может действовать от имени любого пользователя. Поэтому важно убедиться, что пользователь обладает необходимыми привилегиями, например организатором или соорганизатором, для доступа к собранию по сети.

Разрешить приложениям доступ к виртуальным событиям, созданным пользователем

В случаях, когда пользователь, выполнившего вход, не отображается, приложение может вызвать Microsoft Graph для доступа к виртуальному событию с помощью разрешений приложения. Например, приложение может вызвать Microsoft Graph для поиска виртуального события, созданного пользователем, или получения отчетов о посещаемости виртуального события, созданного пользователем, без использования делегированных разрешений этого пользователя. В таких случаях пользователь должен быть организатором этого виртуального события.

Выполните следующие действия, чтобы настроить политику доступа к приложениям для облачных информационных ресурсов, таких как онлайн-собрания и виртуальные события. Эти действия не применяются к другим ресурсам Microsoft Graph.

Сравнение политики доступа к приложениям для собраний по сети и виртуальных событий

В следующей таблице сравнивается политика доступа к приложениям для онлайн-собраний и виртуальных событий в различных сценариях с участием двух пользователей. В этих сценариях участвуют два пользователя (user_1 и user_2) и следующие политики доступа к приложениям:

  • Policy_1 содержит один идентификатор приложения (app_1)
  • Policy_2 содержит один идентификатор приложения (app_2)
  • Policy_3 содержит идентификаторы приложений (app_1 и app_2).
Сценарий Собрание по сети Виртуальное событие
policy_1 назначается user_1, policy_2 назначается user_2 app_1 могут получать доступ только к собраниям по сети , как user_1
app_2 могут получать доступ только к собраниям по сети в user_2
app_1 могут получать доступ только к виртуальным событиям, созданным user_1
app_2 могут получать доступ только к виртуальным событиям, созданным user_2
policy_1 назначается user_1 и user_2 app_1 могут получать доступ к собраниям по сети как user_1
app_1 могут получать доступ к собраниям по сети как user_2
app_1 могут получать доступ к виртуальным событиям, созданным user_1
app_1 могут получать доступ к виртуальным событиям, созданным user_2
policy_3 назначается user_1, политика не назначается user_2 app_1 и app_2 могут получать доступ к собранию по сети как user_1
Ни в каких приложениях нет доступа к собранию по сети, как user_2
app_1 и app_2 могут получать доступ к виртуальным событиям, созданным user_1
Ни в каких приложениях нет доступа к виртуальным событиям, созданным user_2
policy_3 назначается всему клиенту Как app_1 , так и app_2 могут получать доступ к собраниям по сети как user_1 или user_2 И app_1, и app_2 могут обращаться к виртуальным событиям, созданным user_1 или user_2

Настройка политики доступа к приложениям

Чтобы настроить политику доступа к приложениям и разрешить приложениям доступ к собраниям по сети с разрешениями приложений:

  1. Определите идентификатор приложения (клиента) и идентификаторы пользователей, от имени которых приложение будет иметь право на доступ к собраниям по сети.

  2. Подключитесь к PowerShell Skype для бизнеса с помощью учетной записи администратора. Дополнительные сведения см. в статье Управление Skype для бизнеса Online с помощью PowerShell.

  3. Создайте политику доступа к приложениям, содержащую список идентификаторов приложений.

    Выполните следующий командлет, заменив аргументы Identity, AppIds и Description (необязательно).

    New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"
    
  4. Предоставьте пользователю политику, чтобы разрешить идентификаторам приложений, содержащимся в политике, доступ к 1) онлайн-собраниям от имени предоставленного пользователя и 2) виртуальным событиям, созданным предоставленным пользователем.

    Выполните следующий командлет, заменив аргументы PolicyName и Identity .

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"
    
  5. (Необязательно) Предоставьте политику всему клиенту. Это будет применяться к пользователям, которым не назначена политика доступа к приложениям. Дополнительные сведения см. по ссылкам на командлеты в разделе Связанное содержимое .

    Выполните следующий командлет, заменив аргумент PolicyName .

    Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
    

Примечание.

  • Удостоверение ссылается на имя политики при создании политики, но на идентификатор пользователя при предоставлении политики.
  • При предоставлении политики она будет применяться как к онлайн-собраниям, так и к виртуальным событиям. Если вы предпочитаете управлять собраниями по сети и виртуальными событиями по отдельности, рекомендуется использовать два отдельных приложения.
  • Изменения в политиках доступа к приложениям могут входить в силу в вызовах REST API Microsoft Graph до 30 минут.

Поддерживаемые разрешения и дополнительные ресурсы

Администраторы могут использовать командлеты ApplicationAccessPolicy для управления доступом к собраниям по сети и виртуальным событиям для приложения, которому предоставлены любые из следующих разрешений приложения:

  • OnlineMeetings.Read.All
  • OnlineMeetings.ReadWrite.All
  • OnlineMeetingArtifact.Read.All
  • OnlineMeetingTranscript.Read.All
  • OnlineMeetingRecording.Read.All
  • VirtualEvent.Read.All

Дополнительные сведения о настройке политики доступа приложения см. в справочнике по командлету PowerShell New-ApplicationAccessPolicy.

Ошибки

При попытке вызова API для доступа к собранию по сети или виртуальному событию без настройки политики доступа к приложениям может возникнуть следующая ошибка:

{
    "error": {
        "code": "Forbidden",
        "message": "No application access policy found for this app",
        "innerError": {
            "date": "<date_redacted>",
            "request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
        }
    }
}

Выполните действия, описанные в этой статье, чтобы создать и (или) предоставить политику доступа к приложениям, содержащую идентификатор приложения для идентификатора пользователя.