Настройка доступа приложений к собраниям по сети или виртуальным событиям
Чтобы приложения получают доступ к некоторым API-интерфейсам облачной коммуникации с разрешениями приложений, в дополнение к разрешениям приложений Microsoft Graph администраторы клиентов должны настроить политику доступа к приложениям. Дополнительные сведения см. в разделе Поддерживаемые разрешения приложений.
В следующих разделах описаны два основных сценария, для которых требуется политика доступа к приложениям.
Разрешить приложениям доступ к собраниям по сети от имени пользователя
В некоторых случаях, таких как фоновые службы или управляющие приложения, запущенные на сервере без вошедшего пользователя, приложение может вызывать Microsoft Graph и выполнять действия от имени пользователя. Например, приложению может потребоваться, чтобы Microsoft Graph планировал несколько собраний на основе опубликованных расписаний (например, курсов) или внешних средств планирования. В таких ситуациях приложение может действовать от имени любого пользователя. Поэтому важно убедиться, что пользователь обладает необходимыми привилегиями, например организатором или соорганизатором, для доступа к собранию по сети.
Разрешить приложениям доступ к виртуальным событиям, созданным пользователем
В случаях, когда пользователь, выполнившего вход, не отображается, приложение может вызвать Microsoft Graph для доступа к виртуальному событию с помощью разрешений приложения. Например, приложение может вызвать Microsoft Graph для поиска виртуального события, созданного пользователем, или получения отчетов о посещаемости виртуального события, созданного пользователем, без использования делегированных разрешений этого пользователя. В таких случаях пользователь должен быть организатором этого виртуального события.
Выполните следующие действия, чтобы настроить политику доступа к приложениям для облачных информационных ресурсов, таких как онлайн-собрания и виртуальные события. Эти действия не применяются к другим ресурсам Microsoft Graph.
Сравнение политики доступа к приложениям для собраний по сети и виртуальных событий
В следующей таблице сравнивается политика доступа к приложениям для онлайн-собраний и виртуальных событий в различных сценариях с участием двух пользователей. В этих сценариях участвуют два пользователя (user_1 и user_2) и следующие политики доступа к приложениям:
- Policy_1 содержит один идентификатор приложения (app_1)
- Policy_2 содержит один идентификатор приложения (app_2)
- Policy_3 содержит идентификаторы приложений (app_1 и app_2).
| Сценарий | Собрание по сети | Виртуальное событие |
|---|---|---|
| policy_1 назначается user_1, policy_2 назначается user_2 |
app_1 могут получать доступ только к собраниям по сети , как user_1 app_2 могут получать доступ только к собраниям по сети в user_2 |
app_1 могут получать доступ только к виртуальным событиям, созданным user_1 app_2 могут получать доступ только к виртуальным событиям, созданным user_2 |
| policy_1 назначается user_1 и user_2 |
app_1 могут получать доступ к собраниям по сети как user_1 app_1 могут получать доступ к собраниям по сети как user_2 |
app_1 могут получать доступ к виртуальным событиям, созданным user_1 app_1 могут получать доступ к виртуальным событиям, созданным user_2 |
| policy_3 назначается user_1, политика не назначается user_2 |
app_1 и app_2 могут получать доступ к собранию по сети как user_1 Ни в каких приложениях нет доступа к собранию по сети, как user_2 |
app_1 и app_2 могут получать доступ к виртуальным событиям, созданным user_1 Ни в каких приложениях нет доступа к виртуальным событиям, созданным user_2 |
| policy_3 назначается всему клиенту | Как app_1 , так и app_2 могут получать доступ к собраниям по сети как user_1 или user_2 | И app_1, и app_2 могут обращаться к виртуальным событиям, созданным user_1 или user_2 |
Настройка политики доступа к приложениям
Чтобы настроить политику доступа к приложениям и разрешить приложениям доступ к собраниям по сети с разрешениями приложений:
Определите идентификатор приложения (клиента) и идентификаторы пользователей, от имени которых приложение будет иметь право на доступ к собраниям по сети.
- Укажите идентификатор приложения (клиента) на странице регистрации приложений Центра > администрирования Microsoft Entra.
- Определите идентификатор пользователя (объекта) на странице управления пользователями Центра > администрирования Microsoft Entra.
Подключитесь к PowerShell Skype для бизнеса с помощью учетной записи администратора. Дополнительные сведения см. в статье Управление Skype для бизнеса Online с помощью PowerShell.
Создайте политику доступа к приложениям, содержащую список идентификаторов приложений.
Выполните следующий командлет, заменив аргументы Identity, AppIds и Description (необязательно).
New-CsApplicationAccessPolicy -Identity Test-policy -AppIds "ddb80e06-92f3-4978-bc22-a0eee85e6a9e", "ccb80e06-92f3-4978-bc22-a0eee85e6a9e", "bbb80e06-92f3-4978-bc22-a0eee85e6a9e" -Description "description here"Предоставьте пользователю политику, чтобы разрешить идентификаторам приложений, содержащимся в политике, доступ к 1) онлайн-собраниям от имени предоставленного пользователя и 2) виртуальным событиям, созданным предоставленным пользователем.
Выполните следующий командлет, заменив аргументы PolicyName и Identity .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Identity "748d2cbb-3b55-40ed-8c34-2eae5932b22a"(Необязательно) Предоставьте политику всему клиенту. Это будет применяться к пользователям, которым не назначена политика доступа к приложениям. Дополнительные сведения см. по ссылкам на командлеты в разделе Связанное содержимое .
Выполните следующий командлет, заменив аргумент PolicyName .
Grant-CsApplicationAccessPolicy -PolicyName Test-policy -Global
Примечание.
- Удостоверение ссылается на имя политики при создании политики, но на идентификатор пользователя при предоставлении политики.
- При предоставлении политики она будет применяться как к онлайн-собраниям, так и к виртуальным событиям. Если вы предпочитаете управлять собраниями по сети и виртуальными событиями по отдельности, рекомендуется использовать два отдельных приложения.
- Изменения в политиках доступа к приложениям могут входить в силу в вызовах REST API Microsoft Graph до 30 минут.
Поддерживаемые разрешения и дополнительные ресурсы
Администраторы могут использовать командлеты ApplicationAccessPolicy для управления доступом к собраниям по сети и виртуальным событиям для приложения, которому предоставлены любые из следующих разрешений приложения:
- OnlineMeetings.Read.All
- OnlineMeetings.ReadWrite.All
- OnlineMeetingArtifact.Read.All
- OnlineMeetingTranscript.Read.All
- OnlineMeetingRecording.Read.All
- VirtualEvent.Read.All
Дополнительные сведения о настройке политики доступа приложения см. в справочнике по командлету PowerShell New-ApplicationAccessPolicy.
Ошибки
При попытке вызова API для доступа к собранию по сети или виртуальному событию без настройки политики доступа к приложениям может возникнуть следующая ошибка:
{
"error": {
"code": "Forbidden",
"message": "No application access policy found for this app",
"innerError": {
"date": "<date_redacted>",
"request-id": "599d9cb0-56ac-4dc5-b6f8-1456a1414609"
}
}
}
Выполните действия, описанные в этой статье, чтобы создать и (или) предоставить политику доступа к приложениям, содержащую идентификатор приложения для идентификатора пользователя.