Настройка разрешений Azure AD Graph для регистрации приложения

Azure Active Directory (Azure AD) Graph не рекомендуется использовать и находится в пути прекращения использования. Рекомендуется следовать контрольным списком планирования миграции приложений , чтобы помочь перенести приложения в Microsoft Graph.

Приложению по-прежнему могут временно потребоваться разрешения Azure AD Graph для доступа к ресурсам. Вы можете воспользоваться одним из трех методов, описанных в этой статье, чтобы настроить разрешения Azure AD Graph для регистрации приложения:

1. Используйте Центр администрирования Microsoft Entra для поиска API, используемых вашей организацией.
2. Обновление манифеста приложения в Центре администрирования Microsoft Entra
3. Использование API приложений Microsoft Graph

Предостережение

Любое приложение, использующего Azure AD Graph, по-прежнему перестанет работать после прекращения работы API. Дополнительные сведения см. в статье Перенос приложений Azure AD Graph в Microsoft Graph.

Предварительные условия

Действия, описанные в этой статье, требуют двух наборов привилегий:

• Привилегии для добавления разрешений для регистрации приложения
• Привилегии для предоставления этих разрешений для регистрации приложения

Пользователь с ролью администратора привилегированных ролей может выполнять и то, и другое, а пользователь с ролью "Администратор приложений" или "Администратор облачных приложений" может только добавлять разрешения. Чтобы обеспечить разделение обязанностей и минимальный доступ, разделяйте задачи добавления разрешений и предоставления разрешений разным пользователям. Дополнительные сведения о действиях, поддерживаемых этими ролями, см. в статье Встроенные роли Microsoft Entra.

Кроме того, вам потребуются следующие ресурсы и привилегии:

• Войдите в клиент API, например Graph Explorer , для выполнения HTTP-запросов.
• Приложению, используемому для внесения этих изменений, должно быть предоставлено Application.ReadWrite.All разрешение.

Использование API приложений Microsoft Graph

Объект приложения Microsoft Graph содержит свойство requiredResourceAccess, которое представляет собой коллекцию объектов с информацией об API ресурса и разрешениях. Используйте это свойство для настройки разрешений Azure AD Graph, как описано в следующих шагах.

Шаг 1. Определение идентификаторов разрешений для разрешений Azure AD Graph, необходимых приложению

Определите разрешения Azure AD Graph, необходимые приложению, идентификаторы разрешений и роли приложения (разрешения приложения) или oauth2PermissionScopes (делегированные разрешения). Дополнительные сведения см. в справочнике по разрешениям Azure AD Graph.

Azure AD Graph идентифицируется как объект servicePrincipal с 00000002-0000-0000-c000-000000000000 глобально уникальным идентификатором appId , Windows Azure Active Directory а также как displayName и appDisplayName. Выполните следующий запрос, чтобы получить объект субъекта-службы для Azure AD Graph в клиенте.

Запрос

HTTP

GET https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '00000002-0000-0000-c000-000000000000'

C#

// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.ServicePrincipals.GetAsync((requestConfiguration) =>
{
	requestConfiguration.QueryParameters.Filter = "appId eq '00000002-0000-0000-c000-000000000000'";
});

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

CLI

mgc service-principals list --filter "appId eq '00000002-0000-0000-c000-000000000000'"

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Go

// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphserviceprincipals "github.com/microsoftgraph/msgraph-sdk-go/serviceprincipals"
	  //other-imports
)


requestFilter := "appId eq '00000002-0000-0000-c000-000000000000'"

requestParameters := &graphserviceprincipals.ServicePrincipalsRequestBuilderGetQueryParameters{
	Filter: &requestFilter,
}
configuration := &graphserviceprincipals.ServicePrincipalsRequestBuilderGetRequestConfiguration{
	QueryParameters: requestParameters,
}

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
servicePrincipals, err := graphClient.ServicePrincipals().Get(context.Background(), configuration)

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

ServicePrincipalCollectionResponse result = graphClient.servicePrincipals().get(requestConfiguration -> {
	requestConfiguration.queryParameters.filter = "appId eq '00000002-0000-0000-c000-000000000000'";
});

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

let servicePrincipals = await client.api('/servicePrincipals')
	.filter('appId eq \'00000002-0000-0000-c000-000000000000\'')
	.get();

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\ServicePrincipals\ServicePrincipalsRequestBuilderGetRequestConfiguration;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestConfiguration = new ServicePrincipalsRequestBuilderGetRequestConfiguration();
$queryParameters = ServicePrincipalsRequestBuilderGetRequestConfiguration::createQueryParameters();
$queryParameters->filter = "appId eq '00000002-0000-0000-c000-000000000000'";
$requestConfiguration->queryParameters = $queryParameters;


$result = $graphServiceClient->servicePrincipals()->get($requestConfiguration)->wait();

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

PowerShell

Import-Module Microsoft.Graph.Applications

Get-MgServicePrincipal -Filter "appId eq '00000002-0000-0000-c000-000000000000'" 

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.service_principals.service_principals_request_builder import ServicePrincipalsRequestBuilder
from kiota_abstractions.base_request_configuration import RequestConfiguration
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
query_params = ServicePrincipalsRequestBuilder.ServicePrincipalsRequestBuilderGetQueryParameters(
		filter = "appId eq '00000002-0000-0000-c000-000000000000'",
)

request_configuration = RequestConfiguration(
query_parameters = query_params,
)

result = await graph_client.service_principals.get(request_configuration = request_configuration)

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Отклик

В объекте ответа сведения о разрешениях приложения Azure AD Graph перечислены в объекте appRoles , а сведения о делегированных разрешениях — в объекте oauth2PermissionScopes .

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals",
    "value": [
        {
            "id": "1804a6f8-e623-4520-8f40-ba1b0c11c42d",
            "accountEnabled": true,
            "appDisplayName": "Windows Azure Active Directory",
            "appDescription": null,
            "appId": "00000002-0000-0000-c000-000000000000",
            "appOwnerOrganizationId": "f8cdef31-a31e-4b4a-93e4-5f571e91255a",
            "appRoleAssignmentRequired": false,
            "displayName": "Windows Azure Active Directory",
            "servicePrincipalNames": [
                "https://graph.windows.net",
                "00000002-0000-0000-c000-000000000000/graph.microsoftazure.us",
                "00000002-0000-0000-c000-000000000000/graph.windows.net",
                "00000002-0000-0000-c000-000000000000/directory.windows.net",
                "00000002-0000-0000-c000-000000000000",
                "https://graph.windows.net/",
                "https://graph.microsoftazure.us"
            ],
            "servicePrincipalType": "Application",
            "signInAudience": "AzureADMultipleOrgs",
            "appRoles": [
                {
                    "allowedMemberTypes": [
                        "Application"
                    ],
                    "description": "Allows the app to read applications and service principals without a signed-in user",
                    "displayName": "Read all applications",
                    "id": "3afa6a7d-9b1a-42eb-948e-1650a849e176",
                    "isEnabled": true,
                    "origin": "Application",
                    "value": "Application.Read.All"
                }
            ],
            "oauth2PermissionScopes": [
                {
                    "adminConsentDescription": "Allows users to sign in to the app, and allows the app to read the profile of signed-in users. It also allow the app to read basic company information of signed-in users.",
                    "adminConsentDisplayName": "Sign in and read user profile",
                    "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
                    "isEnabled": true,
                    "type": "User",
                    "userConsentDescription": "Allows you to sign in to the app with your work account and let the app read your profile. It also allows the app to read basic company information.",
                    "userConsentDisplayName": "Sign you in and read your profile",
                    "value": "User.Read"
                }
            ]
        }
    ]
}

Из предыдущих усеченных выходных данных — это идентификатор разрешения для делегированного разрешения User.Read, 311a71cc-e848-46a1-bdf8-97ff7156d8e6 а 3afa6a7d-9b1a-42eb-948e-1650a849e176 — идентификатор разрешения приложения Application.Read.All в Azure AD Graph.

Шаг 2. Добавление разрешений Azure AD Graph в приложение

В следующем примере вызывается API приложения Update для добавления делегированных разрешений и разрешений приложения Azure AD Graph User.Read и Application.Read.All в регистрацию приложения, определяемую идентификатором 581088ba-83c5-4975-b8af-11d2d7a76e98объекта .

Важно!

Чтобы обновить свойство requiredResourceAccess , необходимо передать существующие и новые разрешения. Передача только новых разрешений перезаписывает и удаляет существующие разрешения.

Запрос

HTTP

PATCH https://graph.microsoft.com/v1.0/applications/581088ba-83c5-4975-b8af-11d2d7a76e98
Content-Type: application/json

{
    "requiredResourceAccess": [
        {
            "resourceAppId": "00000002-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
                    "type": "Scope"
                },
                {
                    "id": "3afa6a7d-9b1a-42eb-948e-1650a849e176",
                    "type": "Role"
                }
            ]
        }
    ]
}

C#

// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Models;

var requestBody = new Application
{
	RequiredResourceAccess = new List<RequiredResourceAccess>
	{
		new RequiredResourceAccess
		{
			ResourceAppId = "00000002-0000-0000-c000-000000000000",
			ResourceAccess = new List<ResourceAccess>
			{
				new ResourceAccess
				{
					Id = Guid.Parse("311a71cc-e848-46a1-bdf8-97ff7156d8e6"),
					Type = "Scope",
				},
				new ResourceAccess
				{
					Id = Guid.Parse("3afa6a7d-9b1a-42eb-948e-1650a849e176"),
					Type = "Role",
				},
			},
		},
	},
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Applications["{application-id}"].PatchAsync(requestBody);

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

CLI

mgc applications patch --application-id {application-id} --body '{\
    "requiredResourceAccess": [\
        {\
            "resourceAppId": "00000002-0000-0000-c000-000000000000",\
            "resourceAccess": [\
                {\
                    "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",\
                    "type": "Scope"\
                },\
                {\
                    "id": "3afa6a7d-9b1a-42eb-948e-1650a849e176",\
                    "type": "Role"\
                }\
            ]\
        }\
    ]\
}\
'

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Go

// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewApplication()


requiredResourceAccess := graphmodels.NewRequiredResourceAccess()
resourceAppId := "00000002-0000-0000-c000-000000000000"
requiredResourceAccess.SetResourceAppId(&resourceAppId) 


resourceAccess := graphmodels.NewResourceAccess()
id := uuid.MustParse("311a71cc-e848-46a1-bdf8-97ff7156d8e6")
resourceAccess.SetId(&id) 
type := "Scope"
resourceAccess.SetType(&type) 
resourceAccess1 := graphmodels.NewResourceAccess()
id := uuid.MustParse("3afa6a7d-9b1a-42eb-948e-1650a849e176")
resourceAccess1.SetId(&id) 
type := "Role"
resourceAccess1.SetType(&type) 

resourceAccess := []graphmodels.ResourceAccessable {
	resourceAccess,
	resourceAccess1,
}
requiredResourceAccess.SetResourceAccess(resourceAccess)

requiredResourceAccess := []graphmodels.RequiredResourceAccessable {
	requiredResourceAccess,
}
requestBody.SetRequiredResourceAccess(requiredResourceAccess)

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
applications, err := graphClient.Applications().ByApplicationId("application-id").Patch(context.Background(), requestBody, nil)

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

Application application = new Application();
LinkedList<RequiredResourceAccess> requiredResourceAccess = new LinkedList<RequiredResourceAccess>();
RequiredResourceAccess requiredResourceAccess1 = new RequiredResourceAccess();
requiredResourceAccess1.setResourceAppId("00000002-0000-0000-c000-000000000000");
LinkedList<ResourceAccess> resourceAccess = new LinkedList<ResourceAccess>();
ResourceAccess resourceAccess1 = new ResourceAccess();
resourceAccess1.setId(UUID.fromString("311a71cc-e848-46a1-bdf8-97ff7156d8e6"));
resourceAccess1.setType("Scope");
resourceAccess.add(resourceAccess1);
ResourceAccess resourceAccess2 = new ResourceAccess();
resourceAccess2.setId(UUID.fromString("3afa6a7d-9b1a-42eb-948e-1650a849e176"));
resourceAccess2.setType("Role");
resourceAccess.add(resourceAccess2);
requiredResourceAccess1.setResourceAccess(resourceAccess);
requiredResourceAccess.add(requiredResourceAccess1);
application.setRequiredResourceAccess(requiredResourceAccess);
Application result = graphClient.applications().byApplicationId("{application-id}").patch(application);

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

const application = {
    requiredResourceAccess: [
        {
            resourceAppId: '00000002-0000-0000-c000-000000000000',
            resourceAccess: [
                {
                    id: '311a71cc-e848-46a1-bdf8-97ff7156d8e6',
                    type: 'Scope'
                },
                {
                    id: '3afa6a7d-9b1a-42eb-948e-1650a849e176',
                    type: 'Role'
                }
            ]
        }
    ]
};

await client.api('/applications/581088ba-83c5-4975-b8af-11d2d7a76e98')
	.update(application);

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\Application;
use Microsoft\Graph\Generated\Models\RequiredResourceAccess;
use Microsoft\Graph\Generated\Models\ResourceAccess;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new Application();
$requiredResourceAccessRequiredResourceAccess1 = new RequiredResourceAccess();
$requiredResourceAccessRequiredResourceAccess1->setResourceAppId('00000002-0000-0000-c000-000000000000');
$resourceAccessResourceAccess1 = new ResourceAccess();
$resourceAccessResourceAccess1->setId('311a71cc-e848-46a1-bdf8-97ff7156d8e6');
$resourceAccessResourceAccess1->setType('Scope');
$resourceAccessArray []= $resourceAccessResourceAccess1;
$resourceAccessResourceAccess2 = new ResourceAccess();
$resourceAccessResourceAccess2->setId('3afa6a7d-9b1a-42eb-948e-1650a849e176');
$resourceAccessResourceAccess2->setType('Role');
$resourceAccessArray []= $resourceAccessResourceAccess2;
$requiredResourceAccessRequiredResourceAccess1->setResourceAccess($resourceAccessArray);

$requiredResourceAccessArray []= $requiredResourceAccessRequiredResourceAccess1;
$requestBody->setRequiredResourceAccess($requiredResourceAccessArray);


$result = $graphServiceClient->applications()->byApplicationId('application-id')->patch($requestBody)->wait();

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

PowerShell

Import-Module Microsoft.Graph.Applications

$params = @{
	requiredResourceAccess = @(
		@{
			resourceAppId = "00000002-0000-0000-c000-000000000000"
			resourceAccess = @(
				@{
					id = "311a71cc-e848-46a1-bdf8-97ff7156d8e6"
					type = "Scope"
				}
				@{
					id = "3afa6a7d-9b1a-42eb-948e-1650a849e176"
					type = "Role"
				}
			)
		}
	)
}

Update-MgApplication -ApplicationId $applicationId -BodyParameter $params

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.application import Application
from msgraph.generated.models.required_resource_access import RequiredResourceAccess
from msgraph.generated.models.resource_access import ResourceAccess
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = Application(
	required_resource_access = [
		RequiredResourceAccess(
			resource_app_id = "00000002-0000-0000-c000-000000000000",
			resource_access = [
				ResourceAccess(
					id = UUID("311a71cc-e848-46a1-bdf8-97ff7156d8e6"),
					type = "Scope",
				),
				ResourceAccess(
					id = UUID("3afa6a7d-9b1a-42eb-948e-1650a849e176"),
					type = "Role",
				),
			],
		),
	],
)

result = await graph_client.applications.by_application_id('application-id').patch(request_body)

Дополнительные сведения о добавлении пакета SDK в проект и создании экземпляра authProvider см. в документации по пакету SDK.

Отклик

HTTP/1.1 204 No Content

Шаг 3. Проверка добавления разрешений Azure AD Graph в приложение

Убедитесь, что у регистрации приложения есть разрешения API Azure AD Graph, которые вы добавили на шаге 2, выполнив следующие действия:

1. Вызов конечной точки Microsoft Graph GET /application/{id} и чтение свойства requiredResourceAccess следующим образом:

   GET https://graph.microsoft.com/v1.0/applications/581088ba-83c5-4975-b8af-11d2d7a76e98?$select=id,requiredResourceAccess
   

2. Проверка страницы Регистрация приложений в Центре администрирования Microsoft Entra.

Шаг 4. Предоставление согласия администратора

Хотя вы добавили разрешения Azure AD Graph, вы не предоставили эти разрешения приложению. Для доступа к данным организации для многих разрешений требуется согласие администратора. Войдите в Центр администрирования Microsoft Entra в качестве администратора привилегированных ролей и предоставьте согласие администратора для разрешений на регистрацию приложения.

Предоставление разрешений API без использования запроса на согласие

При использовании Microsoft Graph и любых связанных пакетов SDK вы можете предоставить разрешения для регистрации приложения без необходимости использования Центра администрирования Microsoft Entra и нажатия кнопки Предоставить согласие администратора для [компании] на странице разрешений API. Дополнительные сведения см. в статье Предоставление или отзыв разрешений API программным способом.

Используйте Центр администрирования Microsoft Entra для поиска API, используемых вашей организацией.

1. Войдите в центр администрирования Microsoft Entra .

2. Разверните узел Удостоверения>Приложения> выберите Регистрация приложений.

3. В окне Регистрация приложений на вкладке Все приложения выберите приложение, к которому нужно добавить разрешения Azure AD Graph.

4. В левой области окна в группе меню Управление выберите Разрешения API. В окне Настроенные разрешения выберите Добавить разрешение.

5. В окне Запрос разрешений API перейдите на вкладку API, которые использует моя организация , и найдите Windows Azure Active Directory или 00000002-0000-0000-c000-000000000000. Выберите из отфильтрованного результированного набора, чтобы открыть окно разрешений Azure Active Directory Graph .

   

6. Выберите вкладку Делегированные разрешения или Разрешения приложения , чтобы выбрать из списка делегированных разрешений и разрешений приложений соответственно. Выберите Добавить разрешения , чтобы добавить разрешение на регистрацию приложения.

7. После добавления необходимых разрешений снова в окне Настроенные разрешения выберите Предоставить согласие администратора , чтобы предоставить разрешения Azure AD Graph для регистрации приложения.

Обновление манифеста приложения в Центре администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra .

2. Разверните меню >УдостоверенияПриложения> выберите Регистрация приложений.

3. В окне Регистрация приложений на вкладке Все приложения выберите приложение, к которому нужно добавить разрешения Azure AD Graph.

4. В левой области окна в группе меню Управление выберите Манифест , чтобы открыть редактор, позволяющий напрямую изменять атрибуты объекта регистрации приложения.

   

5. Тщательно измените свойство requiredResourceAccess в манифесте приложения, чтобы добавить следующие сведения:

   Совет

   О. Вы можете изменить манифест приложения в Центре администрирования Microsoft Entra или выбрать Скачать , чтобы изменить манифест локально, а затем использовать команду Отправить , чтобы повторно применить его к приложению.

   Б. Дополнительные сведения о настройке свойства requiredResourceAccess см. в разделе Тип ресурса requiredResourceAccess.

   C. Дополнительные сведения об именах, идентификаторах и типах разрешений Azure AD Graph см. в справочнике по разрешениям Azure AD Graph .

   5.1. Если приложению не назначены разрешения Azure AD Graph, добавьте свойство resourceAppId и назначьте значение 00000002-0000-0000-c000-000000000000 , представляющее Azure AD Graph.

   5.2. Добавьте свойство resourceAccess и настройте разрешения.

   В следующем фрагменте КОДА JSON показано свойство requiredResourceAccess с Azure AD Graph в качестве ресурса, которому назначены user.Read и Application.Read.All oauth2PermissionScope (делегированное разрешение) и appRole (разрешение приложения) соответственно.

   "requiredResourceAccess": [
       {
           "resourceAppId": "00000002-0000-0000-c000-000000000000",
           "resourceAccess": [
               {
                   "id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
                   "type": "Scope"
               },
               {
                   "id": "3afa6a7d-9b1a-42eb-948e-1650a849e176",
                   "type": "Role"
               }
           ]
       }
   ],
   

6. Сохраните изменения.

7. В группе меню Управление выберите Разрешения API и в разделе Настроенные разрешения для регистрации приложения выберите Предоставить согласие администратора , чтобы предоставить разрешения Azure AD Graph для регистрации приложения.

Связанные материалы

• объект application
• Предоставление разрешений программным способом без интерактивного согласия
• Справочник по разрешениям Azure AD Graph