Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Agents müssen häufig Aktionen in Microsoft Graph und anderen Webdiensten ausführen, die eine Microsoft Entra ID-Anwendungsberechtigung erfordern (dargestellt als App-Rollen). Autonome Agents müssen diese Berechtigungen von einem Microsoft Entra ID-Administrator anfordern. In diesem Artikel wird der Prozess des Anforderns von Anwendungsberechtigungen von einem Administrator mithilfe der in den vorherigen Schritten erstellten Agentidentität erläutert.
Es gibt zwei Möglichkeiten, einem autonomen Agent Anwendungsberechtigungen zu erteilen:
- Ein Administrator kann eine appRoleAssignment mithilfe von Microsoft Graph-APIs oder PowerShell erstellen.
- Der Agent kann den Administrator über eine Administratorzustimmungs-URL auf eine Zustimmungsseite weiterleiten.
Voraussetzungen
Stellen Sie vor dem Erteilen von Berechtigungen für Agentidentitäten sicher, dass Sie Folgendes sichergestellt haben:
- Eine erstellte Agentidentität (siehe Erstellen und Löschen von Agentidentitäten)
- Administratorrechte in Ihrem Microsoft Entra ID-Mandanten
- Grundlegendes zu den spezifischen Berechtigungen, die Ihr Agent benötigt
Erstellen einer App-Rollenzuweisung über APIs
Führen Sie die folgenden Schritte aus, um eine App-Rollenzuweisung abzurufen.
Abrufen eines Zugriffstokens mit den delegierten Berechtigungen
Application.Read.AllundAppRoleAssignment.ReadWrite.All.Rufen Sie die Objekt-ID des Ressourcendienstprinzipals ab, auf den Sie zugreifen möchten. So suchen Sie z. B. die Microsoft Graph-Dienstprinzipalobjekt-ID:
- Navigieren Sie zum Microsoft Entra Admin Center.
- Navigieren Sie zu Entra ID -->
- Filtern nach Anwendungstyp == Microsoft Applications
- Suchen Sie nach Microsoft Graph.
Rufen Sie die eindeutige ID der App-Rolle ab, die Sie zuweisen möchten.
Erstellen Sie die App-Rollenzuweisung:
POST https://graph.microsoft.com/v1.0/servicePrincipals/<agent-identity-id>/appRoleAssignments Authorization: Bearer <token> Content-Type: application/json { "principalId": "<agent-identity-id>", "resourceId": "<microsoft-graph-sp-object-id>", "appRoleId": "<app-role-id>" }
Fordern Sie eine Autorisierung von einem Mandantenadministrator an.
Um delegierte Berechtigungen zu erteilen, erstellen Sie die Autorisierungs-URL, die verwendet wird, um Administratoren aufzufordern. Der Rollenparameter wird verwendet, um die angeforderten Anwendungsberechtigungen anzugeben.
Bitte darauf achten, die Agentenidentität-Client-ID in der folgenden Anfrage zu verwenden.
https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/adminconsent
?client_id=<agent-identity-client-id>
&role=User.Read.All
&redirect_uri=https://entra.microsoft.com/TokenAuthorize
&state=xyz123
Agentimplementierungen könnten den Administrator eventuell auf verschiedene Arten an diese URL umleiten, zum Beispiel durch eine Nachricht, die in einem Chatfenster an den Administrator gesendet wird. Wenn der Administrator zu dieser URL umgeleitet wird, werden sie aufgefordert, sich anzumelden und die im Bereichsparameter angegebenen Berechtigungen zu erteilen. Zurzeit müssen Sie den aufgelisteten Umleitungs-URI verwenden, der den Administrator nach der Erteilung der Zustimmung zu einer leeren Seite weiterleitet.
Nachdem Sie Ihrer Anwendung die erforderlichen Berechtigungen erteilt haben, fordern Sie ein neues Agent-Zugriffstoken an, damit die Berechtigungen wirksam werden.