Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agenci często muszą podejmować akcje w programie Microsoft Graph i innych usługach sieci Web, które wymagają uprawnienia aplikacji Microsoft Entra ID (reprezentowane jako role aplikacji). Autonomiczne agenty muszą wystąpić o te uprawnienia do administratora Microsoft Entra ID. W tym artykule przedstawiono proces żądania uprawnień aplikacji od administratora przy użyciu tożsamości agenta utworzonej w poprzednich krokach.
Istnieją dwa sposoby udzielania uprawnień aplikacji agentowi autonomicznemu:
- Administrator może utworzyć element appRoleAssignment przy użyciu interfejsów API programu Microsoft Graph lub programu PowerShell.
- Agent może kierować administratora do strony zgody przy użyciu adresu URL zgody administratora.
Wymagania wstępne
Przed udzieleniem uprawnień do tożsamości agenta upewnij się, że masz:
- Utworzona tożsamość agenta (zobacz Tworzenie i usuwanie tożsamości agenta)
- Uprawnienia administratora w dzierżawie Microsoft Entra ID
- Znajomość określonych uprawnień wymaganych przez agenta
Tworzenie przypisania roli aplikacji za pomocą interfejsów API
Aby uzyskać przypisanie roli aplikacji, wykonaj następujące kroki.
Uzyskaj token dostępu z delegowanymi uprawnieniami
Application.Read.AlliAppRoleAssignment.ReadWrite.All.Pobierz identyfikator obiektu jednostki usługi zasobów, do której próbujesz uzyskać dostęp. Aby na przykład znaleźć identyfikator obiektu usługi Microsoft Graph:
- Przejdź do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do Entra ID -->Aplikacje dla firm
- Filtruj według typu aplikacji == Microsoft Applications
- Wyszukaj Microsoft Graph.
Uzyskaj unikatowy identyfikator roli aplikacji, którą chcesz przypisać.
Utwórz przypisanie roli aplikacji:
POST https://graph.microsoft.com/v1.0/servicePrincipals/<agent-identity-id>/appRoleAssignments Authorization: Bearer <token> Content-Type: application/json { "principalId": "<agent-identity-id>", "resourceId": "<microsoft-graph-sp-object-id>", "appRoleId": "<app-role-id>" }
Żądanie autoryzacji od administratora dzierżawy
Aby udzielić uprawnień delegowanych, skonstruuj adres URL autoryzacji używany do monitowania administratora. Parametr roli służy do określania żądanych uprawnień aplikacji.
Pamiętaj, aby użyć identyfikatora klienta tożsamości agenta w poniższym żądaniu.
https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/adminconsent
?client_id=<agent-identity-client-id>
&role=User.Read.All
&redirect_uri=https://entra.microsoft.com/TokenAuthorize
&state=xyz123
Implementacje agenta mogą przekierowywać administratora do tego adresu URL na różne sposoby, takie jak dołączenie go do wiadomości wysłanej do administratora w oknie czatu. Gdy administrator zostanie przekierowany do tego adresu URL, zostanie poproszony o zalogowanie się i wyrażenie zgody na uprawnienia określone w parametrze zakresu. Na ten moment musisz użyć wskazanego identyfikatora URI przekierowania, który kieruje administratora do pustej strony po udzieleniu zgody.
Po udzieleniu aplikacji wymaganych uprawnień zażądaj nowego tokenu dostępu agenta, aby uprawnienia zaczęły obowiązywać.