Autorização da aplicação Microsoft Graph Data Connect

A experiência de autorização para aplicações do Microsoft Graph Data Connect está incorporada no Centro de administração do Microsoft 365. Apenas os administradores globais podem autorizar aplicações do Data Connect. Para autorizar aplicações para a sua organização, os administradores globais podem aceder ao portal de autorização do Microsoft Graph Data Connect e selecionar o separador Segurança & Privacidade nas definições da Organização e, em seguida, selecionar aplicações do Microsoft Graph Data Connect, conforme mostrado na imagem seguinte.

Captura de ecrã com as definições da Organização, o separador Segurança & Privacidade e as aplicações Microsoft Graph Data Connect realçadas.

Vista de resumo da aplicação

A página de destino do portal de aplicações do Data Connect fornece uma vista rápida de todas as aplicações do Data Connect que lhe interessam, conforme mostrado na imagem seguinte.

Captura de ecrã a mostrar uma vista rápida das aplicações no portal do Data Connect.

Pode encontrar os seguintes tipos de aplicações no portal:

  • Aplicações de inquilino único — aplicações registadas no seu inquilino e que necessitam de acesso aos dados. Normalmente, estas aplicações são cenários empresariais.
  • Aplicações multi-inquilino — aplicações alojadas noutro inquilino e que necessitam de acesso aos dados do seu inquilino. Estas aplicações são normalmente cenários de fornecedor de software independente (ISV). Reveja estas aplicações cuidadosamente. Quando autoriza aplicações multi-inquilino, os dados do seu inquilino podem ser migrados para o inquilino do programador da aplicação.

Por predefinição, todas as aplicações de inquilino único são preenchidas na tabela. Apenas as aplicações multi-inquilino aprovadas, negadas ou expiradas estão incluídas na tabela. Outras aplicações são apresentadas na tabela com os seguintes estados:

  • Autorização pendente — Aplicações que estão pendentes de ação. Esta status só é possível para aplicações de inquilino único. As aplicações neste estado falham sempre no runtime.
  • Aprovado — Aplicações que um administrador aprovou para aceder aos dados do Microsoft 365 para o seu inquilino.
  • Negado — Aplicações que um administrador negou ter acedido aos dados do Microsoft 365 para o seu inquilino. As aplicações neste estado falham sempre no runtime.
  • Expirou — Aplicações que um administrador aprovou para aceder aos dados do Microsoft 365 para o seu inquilino, mas a aprovação expirou. As aplicações neste estado falham sempre no runtime.
  • Atualização disponível — aplicações que um administrador reviu e agiu anteriormente, mas que agora são atualizadas. As aplicações neste estado continuam a funcionar de acordo com a autorização anterior. Quando o administrador fornece uma nova aprovação, a nova definição da aplicação substitui a antiga.

Vista de detalhes da aplicação

Selecione uma aplicação a partir da tabela para iniciar a vista de detalhes da aplicação, que fornece mais informações sobre os dados de que a aplicação necessita. Esta experiência de assistente orienta-o ao longo dos detalhes de acesso a dados relevantes. Quando concluir o assistente, pode aprovar ou negar a aplicação no final. A imagem seguinte mostra a vista de detalhes da aplicação.

Captura de ecrã a mostrar a vista de detalhes da aplicação no portal do Data Connect.

Primeiro, o assistente mostra informações de descrição geral sobre a aplicação:

  • Programador – o nome de utilizador do programador que registou a aplicação.

  • Destino dos dados – o sink onde os dados são entregues. Se for aprovada, esta aplicação pode mover os dados pedidos para qualquer localização no sink listado.

  • Publicador da aplicação – o Microsoft Entra ID de inquilino onde a aplicação está registada. Para aplicações de inquilino único, este valor é o mesmo Microsoft Entra ID de inquilino que o seu inquilino.

Em seguida, o assistente inclui vários passos do conjunto de dados, um passo por conjunto de dados registado na aplicação. Cada página mostra-lhe informações relevantes para cada conjunto de dados. Por exemplo:

  • Colunas — especifica as colunas que a aplicação pretende extrair através do Data Connect. Se for aprovada, esta aplicação pode extrair qualquer subconjunto de colunas aprovadas para o conjunto de dados especificado.

  • Âmbito — Especifica o âmbito (seleção de utilizador) que a aplicação pretende extrair através do Data Connect. Para obter detalhes sobre âmbitos, veja Utilizar o Microsoft Graph Data Connect para definir o âmbito de um conjunto de dados.

Para obter detalhes sobre como a autorização funciona com diferentes âmbitos, veja Validação de autorização durante o runtime do pipeline.

Captura de ecrã a mostrar a página de revisão da validação de autorização no portal do Data Connect.

Por fim, o assistente confirma algumas informações importantes sobre a aplicação para que possa rever. Pode selecionar Aprovar, Recusar ou Cancelar. Uma ação numa aplicação é tudo ou nada. Autorizar uma aplicação significa que está a autorizar todo o acesso especificado nos passos anteriores.

Uma aprovação permanece válida durante 180 dias, após a qual é considerada Expirada. Para renovar uma aprovação, um administrador pode rever os detalhes da aplicação no Centro de administração do Microsoft 365 e Aprovar a autorização por mais 180 dias. Para revogar uma aprovação, um administrador também pode aceder ao Centro de administração do Microsoft 365 recusar a autorização de uma aplicação.

Ao autorizar uma aplicação, poderá encontrar estas mensagens de erro:

  • App approver and owner cannot be the same user.
  • App registration not found. It is possible someone deleted this app.

Se ocorrer um erro inesperado, a mensagem de erro inclui um código de erro. Tome nota deste código de erro para partilhar com o suporte da Microsoft.

Detetar aplicações multi-inquilino

Para detetar aplicações multi-inquilino, selecione Adicionar nova aplicação multi-inquilino acima da tabela de resumo da aplicação. Se o inquilino estiver ativado para migração de dados entre inquilinos, verá duas caixas de texto. Depois de introduzir o ID da aplicação e o ID do inquilino, selecione Localizar e o portal iniciará a vista de detalhes da aplicação para a aplicação que está a procurar.

Captura de ecrã a mostrar a página para adicionar uma aplicação multi-inquilino no portal do Data Connect.

Registos de auditoria do Microsoft 365

A experiência de autorização da aplicação Microsoft Graph Data Connect está integrada nos registos de auditoria do Microsoft 365. Quando os administradores aprovam ou negam uma aplicação do Data Connect, um evento auditável emite para os registos de auditoria do Microsoft 365 com dados relevantes sobre o que foi aprovado ou negado. Utilize qualquer um dos seguintes campos para procurar nos registos de auditoria eventos de autorização do Data Connect:

  • Carga de trabalho - MicrosoftGraphDataConnect

  • Tipo de registo - MicrosoftGraphDataConnectConsent

  • Atividades – Aprovou ou negou uma aplicação (nas Atividades do Microsoft Graph Data Connect)

Captura de ecrã a mostrar uma página de exemplo de registo de auditoria do Microsoft 365.

Validação de autorização durante o runtime do pipeline

No runtime, o Data Connect valida os pedidos recebidos relativamente a todas as autorizações no inquilino. Se for encontrada uma autorização correspondente, a tarefa continua. Se não for detetada nenhuma autorização, a tarefa falhará. O Data Connect já não para ConsentPending quando aguarda autorização. Se a validação da autorização falhar, receberá uma mensagem de erro específica relativamente ao motivo pelo qual a tarefa não correspondeu às autorizações da aplicação existentes.

As validações de autorização aplicadas durante o runtime incluem:

  • O ID da aplicação do pedido recebido corresponde a uma aplicação autorizada.
  • A autorização da aplicação encontrada foi aprovada.
  • O ID de inquilino da aplicação para o pedido recebido corresponde ao ID do inquilino do registo de aplicações da autorização de aplicação encontrado.
  • O conjunto de dados do pedido recebido é um dos conjuntos de dados na autorização da aplicação encontrada.
  • As colunas no pedido de entrada são um subconjunto das colunas que foram autorizadas para o conjunto de dados pedido.
  • O ID do inquilino de destino corresponde ao ID de inquilino de destino da autorização da aplicação encontrada.
  • A localização de destino do pedido recebido está contida no sink de destino na autorização da aplicação encontrada.
  • O âmbito do pedido recebido está alinhado com o âmbito na autorização da aplicação encontrada.
    • Se a aplicação estiver autorizada para todos os utilizadores/grupos no inquilino, qualquer âmbito passa esta validação.
    • Se a aplicação estiver autorizada para uma lista de grupos, qualquer subconjunto dos grupos autorizados passa esta validação.
    • Se a aplicação estiver autorizada para um URI de filtro de âmbito, o pedido recebido tem de corresponder precisamente ao valor autorizado.