マルチテナントデーモンオフィス365アプリのコンシューマーAADへの登録は、管理者の同意を得て、コンシューマーに別途登録する必要がありますか？

Question

私は、ユーザーカレンダーにアクセスする必要があるマルチテナントのOffice 365デーモンを開発しています。

証明書を使用してこのアプリを導入した企業のテナント（Tenant1）に正常に登録しました。アクセストークンを取得できました。

私は別のAADテナント（テナント2）を作成し、テナント2の管理者アカウントを使用してデーモンアプリにログインし、管理者同意画面を表示し、同意しました。エラーは返されませんでした。

しかし、私はアプリトークンを取得しようとしましたが、トークンを取得できましたが、空のアクセス許可があります。このトークンを使用してOffice 365 APIを呼び出すと、401が得られます。

サービスプリンシパルオブジェクトを作成する必要があります。また、私はテナント2アプリの登録でこのアプリを見ることができません。

すべての消費者は、自分のADテナントにこのアプリケーションを手動で登録し、アプリケーションマニフェストファイルを変更して証明書の詳細を追加する必要がありますか？

マルチテナントの利点についてはわかりません。

IはAzure Active Directory documentationで続くが見つかりました：

次の図は、HRアプリケーションと呼ばれるサンプルマルチテナントアプリケーションのコンテキストにおいて、アプリケーションのアプリケーションオブジェクトと対応するサービスプリンシパルオブジェクト間の関係を示す図です。このシナリオでは3つのAzureのADテナントがあります

• Adatum側 - Contoso社
• HRアプリを開発した会社が使用するテナント - HRアプリの消費者であるContoso社の組織で使用テナント、
• Fabrikamの - もHRアプリあなたは、各テナントがあなたのアプリケーションを登録する必要はありません

Answer 1

を消費Fabrikamの組織によって使用さテナント、。実際には、はにならないはずです。何十（または何百）もの一意のApp IDを浮遊させるだけで頭痛が発生するからです。

しかし、各テナントは管理者同意ワークフローを実行する必要があります。これにより、あなたが最後に登録したApp IDがあなたが要求したスコープにアクセスする権限が付与されます。

通常、v2エンドポイントとapps.dev.microsoft.comポータルを使用してアプリを登録することをおすすめします。自分のActive Directoryにアプリを登録することもできますが、ポータルでは管理しやすくなります。

一般的なプロセスは次のとおりです。

1. がマイクロソフトグラフ権限セクションの「アプリケーションのアクセス権を」移入Registration Portal

2. であなたのアプリケーションを登録します。登録ポータルのみMSA（すなわち個人）のアカウントをサポートしています

   • ：https://login.microsoftonline.com/common/adminconsent?client_id=[APPLICATION ID]&redirect_uri=[REDIRECT URI]

   • を使用して管理者の同意のワークロードは、ビール

ヒントのカップルを取得

打ち上げ現時点では。この目的のために新しいOutlook.comアカウントを作成することをお勧めします。これにより、内部的に必要なユーザーと資格情報を簡単に共有することができます。

共有Outlook.comアカウントを作成する場合は、内部的にすべての関係者の転送ルールも設定する必要があります。これは、何かが間違っているか、道路を変更する必要があり、アカウントを回復する必要がある場合に備えています。

v2 EndpointとAdmin Consentと書いてあります。彼らはあなたが認可コードフローを使用していると仮定していますが、クライアントクレデンシャルについてもコンセプトは変わりません。