在 Microsoft Entra ID 中，從多租用戶應用程式建立企業應用程式

在本文中，您將了解如何使用多租用戶應用程式的用戶端識別碼，在租用戶中建立企業應用程式。 企業應用程式是指租用戶內的服務主體。 本文中討論的服務主體是單一租用戶或目錄中全域應用程式物件的本機表示法或應用程式執行個體。

使用以下任何選項來繼續新增應用程式之前，請先嘗試登入應用程式，以檢查企業應用程式是否已在租用戶中。 如果登入成功，表示企業應用程式已存在於租用戶中。

如果您已確認應用程式不在租用戶中，請繼續以下列任何一種方式，將企業應用程式新增至租用戶。

必要條件

若要將企業應用程式新增至您的 Microsoft Entra 租用戶，您需要：

• Microsoft Entra 使用者帳戶。 若尚未有帳戶，可以免費建立帳戶。
• 下列其中一個角色：雲端應用程式管理員或應用程式系統管理員。
• 多租用戶應用程式的用戶端標識碼 (也稱為 Microsoft Graph 中的 appId)。

建立企業應用程式

如果您已取得管理員同意 URL，請透過網頁瀏覽器前往該 URL，以授與全租用戶管理員同意給應用程式。 將全租用戶管理員同意授與應用程式會將該應用程式新增至租用戶。 全租用戶管理員同意 URL 有下列格式：

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com

其中：

• {client-id} 是應用程式的用戶端識別碼 (也稱為 appId)。

注意

如果您嘗試使用企業應用程式，且尚未在您的租用戶中建立服務主體，Entra 會回應 (401) 未經授權的錯誤，指出:「用戶端應用程式 {appId} 遺失租用戶 {tenantId} 中的服務主體。」若要解決此問題，對上述管理員同意的 URL 執行同意，將會具現化租用戶中的服務主體並解決問題。

1. 執行 connect-MgGraph -Scopes "Application.ReadWrite.All"，並以至少為雲端應用程式管理員角色的身分登入。

2. 執行下列命令來建立企業應用程式：

   New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444
   

3. 若要刪除您建立的企業應用程式，請執行下列命令：

   Remove-MgServicePrincipal
      -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc
   
   

您可以使用 Graph 總管等 API 用戶端來運作 Microsoft Graph。

1. 授與用戶端應用程式 Application.ReadWrite.All 權限。

2. 若要建立企業應用程式，請執行下列查詢。 appId 是應用程式的用戶端識別碼。

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
   }
   
   

3. 若要刪除您已建立的企業應用程式，請執行下列查詢。

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')
   

1. 若要建立企業應用程式，請執行下列命令：

   az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444
   

2. 若要刪除您建立的企業應用程式，請執行下列命令：

   az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc
   
   

下一步

• 將 RBAC 角色新增至企業應用程式
• 將使用者指派給應用程式