所以我已经做了一些研究,但我只是想检查一下,看看其他人对我们雇主目前正在经历的情况有什么意见,并获得一些指导,以补充我已经有的研究。
所以我们目前有一个微软租户,有一个Azure AD订阅,有API和Apps。我们计划将SharePoint相关的所有内容转移到这个新租户,但我们将API和Apps保留在当前的Azure AD中--新租户有自己的Azure AD。
能否将我们的 API 调用挂到新租户上? 能否为我们的 Apps 授予权限并在新租户中使用它们?
如果有人有任何关于租户迁移等细节,请抛出你所拥有的任何信息--因为所有这些都将是有用的。
是的,这是有可能的。但如果你有很多应用程序,会有很多工作。
首先,要确保你所有的api应用和app应用是 多租户.
其次,你可以使用 Powershell cmd New-AzureRmADServicePrincipal -ApplicationId "{client id of your api application}"
将api应用作为企业应用添加到您的新租户中。
然后您需要做的是 管理同意书 的应用程序(旧租户的)与新租户的应用程序。
我假设你的应用是在 tenant_x 中注册的,想把它添加到 tenant_y 中。
你可以将用户重定向到微软身份平台的管理同意端点。
GET https://login.microsoftonline.com/{tenant_y}/v2.0/adminconsent?
client_id={client id of the app in tenant_x}
&state=12345
&redirect_uri={redirect_uri of the app in tenant_x}
&scope=https://graph.microsoft.com/.default
使用tenant_y的管理员账号登录,完成管理员同意。
请注意,对于 scope
你不能用 api://{client id of api app}/.default
因为它会告诉你在tenant_y中不存在api应用。
虽然我们使用 https://graph.microsoft.com/.default
对于 scope
,在做管理员同意的时候也会显示api应用的权限。所以不用担心这个问题。
完成后,在 tenant_x 中的应用的企业应用会出现在 tenant_y 中,并拥有所有的 api 权限。