Condividi tramite

Creare un'applicazione aziendale da un'applicazione multi-tenant

Questo articolo illustra come creare un'applicazione aziendale nel tenant usando l'ID client per un'applicazione multi-tenant. Un'applicazione aziendale fa riferimento a un'entità servizio all'interno di un tenant. L'entità servizio descritta in questo articolo è la rappresentazione locale, o l'istanza dell'applicazione, di un oggetto applicazione globale in un singolo tenant o directory.

Prima di procedere con l'aggiunta dell'applicazione usando una di queste opzioni, verificare se l'applicazione aziendale è già presente nel tenant provando ad accedere all'applicazione. Se l'accesso ha esito positivo, l'applicazione aziendale esiste già nel tenant.

Se si verifica che l'applicazione non sia presente nel tenant, procedere con uno dei modi seguenti per aggiungere l'applicazione aziendale al tenant.

Prerequisiti

Per aggiungere un'applicazione aziendale al tenant di Microsoft Entra, è necessario:

  • Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud o Amministratore applicazione.
  • ID client (detto anche appId in Microsoft Graph) dell'applicazione multi-tenant.

Creare un'applicazione aziendale

Se ti viene fornito l'URL del consenso dell'amministratore, accedere all'URL tramite un browser web per concedere il consenso dell'amministratore a livello di tenant all'applicazione. Concedere il consenso amministrativo dell'intero tenant all'applicazione significa aggiungerla al tenant. L'URL del consenso amministratore a livello di tenant ha il formato seguente:

https://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=248e869f-0e5c-484d-b5ea1fba9563df41&redirect_uri=https://www.your-app-url.com

Dove:

  • {client-id} è l'ID client dell'applicazione (noto anche come appId).

Nota

Se si tenta di usare un'applicazione aziendale e l'entità servizio non è ancora stata creata nel tenant, Microsoft Entra risponde con un errore (401) Non autorizzato che indica che l'applicazione client {appId} manca un'entità servizio nel tenant {tenantId}". Per risolvere questo problema, l'esecuzione del consenso con l'URL del consenso amministratore come indicato in precedenza crea un'istanza dell'entità servizio nel tenant e risolve il problema.

  1. Eseguire connect-MgGraph -Scopes "Application.ReadWrite.All" ed eseguire l'accesso con almeno un ruolo di amministratore dell'applicazione cloud.

  2. Eseguire il comando seguente per creare l'applicazione aziendale:

    New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444

  3. Per eliminare l'applicazione aziendale creata, eseguire il comando :

    Remove-MgServicePrincipal
   -ServicePrincipalId bbbbbbbb-1111-2222-3333-cccccccccccc

È possibile usare un client API come Graph Explorer per usare Microsoft Graph.

  1. Concedere all'app client l'autorizzazione Application.ReadWrite.All .

  2. Per creare l'applicazione aziendale, eseguire la query seguente. AppId è l'ID client dell'applicazione.

    POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444"
}

  3. Per eliminare l'applicazione aziendale creata, eseguire la query.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals(appId='00001111-aaaa-2222-bbbb-3333cccc4444')

  1. Per creare l'applicazione aziendale, eseguire il comando seguente:

    az ad sp create --id 00001111-aaaa-2222-bbbb-3333cccc4444

  2. Per eliminare l'applicazione aziendale creata, eseguire il comando :

    az ad sp delete --id bbbbbbbb-1111-2222-3333-cccccccccccc

Contenuti correlati

  • Last updated on