向应用程序授予租户范围的管理员许可

在“企业应用”窗格中授予租户范围的管理员同意

如果应用程序已在租户中预配，则可以通过“企业应用程序”窗格授予租户范围的管理员同意。 例如，如果已至少许可一个用户登录到某个应用程序，则可以在租户中预配该应用。 有关详细信息，请参阅如何以及为何将应用程序添加到 Microsoft Entra ID。

要向“企业应用程序”窗格中列出的应用授予租户范围的管理员同意，请执行以下操作：

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
3. 在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。
4. 在“安全性”下选择“权限”。
5. 仔细查看应用程序所需的权限。 如果同意应用程序所需的权限，请选择“授予管理员同意”。

在“应用注册”窗格中授予管理员同意

可以在 Microsoft Entra 管理中心中的应用注册处授予租户范围的管理员同意，用于组织已直接在 Microsoft Entra 租户中开发和注册的应用程序。

若要通过“应用注册”授予租户范围的管理员许可：

1. 在 Microsoft Entra 管理中心，浏览到“标识”>“应用程序”>“应用注册”>“所有应用程序”。
2. 在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。
3. 在“管理”下，选择“API 权限”。
4. 仔细查看应用程序所需的权限。 如果同意，请选择“授予管理员同意”。

构建用于授予租户范围的管理员许可的 URL

使用上一部分所述的任一方法授予租户范围的管理员同意时，Microsoft Entra 管理中心会打开一个窗口，提示授予租户范围的管理员同意。 如果你知道应用程序的客户端 ID（也称为应用程序 ID），则可以生成相同的 URL 来授予租户范围的管理员许可。

租户范围的管理员许可 URL 采用以下格式：

https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={client-id}

其中：

• {client-id} 是应用程序的客户端 ID（也称为应用 ID）。
• {organization} 是你要在其中同意应用程序的租户的租户 ID 或任何经验证的域名。 可以使用值 organizations，这将导致同意发生在登录用户的主租户中。

在授予许可之前，始终请仔细查看应用程序请求的权限。

有关构造租户范围的管理员同意 URL 的详细信息，请参阅 Microsoft 标识平台上的管理员同意。

使用 Microsoft Graph PowerShell 为委托的权限授予管理员同意

在本节中，你将向应用程序授予委托的权限。 委托的权限是应用程序代表登录用户访问 API 所需的权限。 权限由资源 API 定义，并授予企业应用程序（即客户端应用程序）。 此同意是代表所有用户授予的。

在以下示例中，资源 API 是对象 ID 7ea9e944-71ce-443d-811c-71e8047b557a 的 Microsoft Graph。 该 Microsoft Graph API 定义了委托的权限 User.Read.All 和 Group.Read.All。 consentType 为 AllPrincipals，表示你代表租户中的所有用户表明同意。 客户端企业应用程序的对象 ID 为 b0d9b9e3-0ecf-4bfd-8dab-9273dd055a941。

1. 连接到 Microsoft Graph PowerShell，至少以云应用程序管理员身份登录。

   Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Application.ReadWrite.All", "DelegatedPermissionGrant.ReadWrite.All"
   

2. 检索由你的租户应用程序中的 Microsoft Graph（资源应用程序）定义的所有委托权限。 确定需要授予客户端应用程序的委托的权限。 在此示例中，委托的权限为 User.Read.All 和 Group.Read.All

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property Oauth2PermissionScopes | Select -ExpandProperty Oauth2PermissionScopes | fl
   

3. 通过运行以下请求向客户端企业应用程序授予委托的权限。

   $params = @{
   
   "ClientId" = "b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
   "ConsentType" = "AllPrincipals"
   "ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
   "Scope" = "User.Read.All Group.Read.All"
   }
   
   New-MgOauth2PermissionGrant -BodyParameter $params | 
   Format-List Id, ClientId, ConsentType, ResourceId, Scope
   

4. 通过运行以下请求，确认你已在租户范围内授予管理员同意。

 Get-MgOauth2PermissionGrant -Filter "clientId eq 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' and consentType eq 'AllPrincipals'" 

使用 Microsoft Graph PowerShell 为应用程序权限授予管理员同意

在本节中，你将向企业应用程序授予应用程序权限。 应用程序权限是应用程序访问资源 API 所需的权限。 权限由资源 API 定义，并授予企业应用程序（即主体应用程序）。 向应用程序授予对资源 API 的访问权限后，其将作为后台服务或守护程序运行，无需用户登录。 应用程序权限也称为应用角色。

在以下示例中，向 Microsoft Graph 应用程序（ID b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94 的主体）授予 ID df021288-bdef-4463-88db-98f22de89214 的一个应用角色（应用程序权限），该角色由 ID 7ea9e944-71ce-443d-811c-71e8047b557a 的资源 API 公开。

1. 连接到 Microsoft Graph PowerShell，以全局管理员身份登录。

   Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
   

2. 检索由你的租户中的 Microsoft Graph 定义的应用角色。 确定需要授予客户端企业应用程序的应用角色。 在此示例中，应用角色 ID 为 df021288-bdef-4463-88db-98f22de89214。

   Get-MgServicePrincipal -Filter "displayName eq 'Microsoft Graph'" -Property AppRoles | Select -ExpandProperty appRoles |fl
   

3. 运行以下请求以向主体应用程序授予应用程序权限（应用角色）。

 $params = @{
  "PrincipalId" ="b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94"
  "ResourceId" = "7ea9e944-71ce-443d-811c-71e8047b557a"
  "AppRoleId" = "df021288-bdef-4463-88db-98f22de89214"
}

New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId 'b0d9b9e3-0ecf-4bfd-8dab-9273dd055a94' -BodyParameter $params | 
  Format-List Id, AppRoleId, CreatedDateTime, PrincipalDisplayName, PrincipalId, PrincipalType, ResourceDisplayName