Habilitar Microsoft Entra ID token para mensajes accionables

Importante

Los mensajes accionables pasan de la autenticación heredada (EAT) a Entra autenticación de token basada en identificadores. La eliminación gradual de la autenticación heredada está en curso y se completará el 8 de junio de 2026. Después de esta fecha, las integraciones que dependen de tokens heredados ya no funcionarán.

Para garantizar un servicio ininterrumpido, los asociados deben implementar la compatibilidad con tokens de identificador de Entra lo antes posible. Para obtener instrucciones sobre cómo actualizar la integración, consulte Habilitar Microsoft Entra ID token para mensajes accionables.

guía de Administración: Visualización de proveedores con tipo de autenticación

Los administradores pueden descargar la lista de todos los proveedores aprobados de su organización junto con el tipo de token que se usa. Los datos se exportan en un formato de .csv para facilitar el análisis y los informes.

Cómo descargar la lista de proveedores

  1. Vaya al Panel de desarrolladores de Email accionable.
  2. En la esquina superior derecha, seleccione el botón Exportar proveedores aprobados para exportar la lista de proveedores aprobados en formato .csv.

Captura de pantalla del panel de desarrolladores de Email accionable que muestra la posición del botón Obtener lista de proveedores

Notas importantes

  • Solo verá el botón de descarga después de filtrar por proveedores aprobados.
  • El archivo descargado contiene los detalles del proveedor junto con su tipo de token.
  • Si se produce un error de tiempo de espera, el mensaje de error se muestra en la interfaz de usuario y desaparece automáticamente después de 5 segundos.

Registro de una aplicación en Azure

Nota:

Si ya tiene un registro de aplicación en Azure, vaya al paso siguiente.

  1. Inicie sesión en el Centro de administración Microsoft Entra.
  2. Si tiene acceso a varios inquilinos, use el icono Configuración para cambiar al inquilino deseado a través de Directorios y suscripciones.
  3. Vaya aAplicaciones>de identidad>Registros de aplicaciones y seleccione Nuevo registro.
  4. Escriba un nombre para mostrar para la aplicación.
  5. Especifique quién puede usar la aplicación en la sección Tipos de cuenta admitidos :
    • Cuentas en cualquier directorio organizativo (cualquier inquilino Microsoft Entra ID multiinquilino): para los asociados que realizan un registro de AM de ámbito global.
    • Solo las cuentas de este directorio organizativo: Para la aplicación de inquilino único (registro de ámbito de prueba y organización).
  6. Deje el URI de redirección (opcional) en blanco.
  7. Seleccione Registrar para completar el registro.

Registro de un nuevo proveedor de AM

  • Registre un nuevo proveedor mediante mensajes accionables (office.com) o use el botón Migrar a MSEntra del registro existente para crear una copia.

  • Rellene la sección MsEntra Auth con:

    • Id. de aplicación de MsEntra

    • AppIdUri (generado automáticamente; debe incluirse en la lista de permitidos en la aplicación, como se muestra en la sección siguiente).

      Captura de pantalla de los nuevos campos de formulario del proveedor

  • La aprobación e incorporación del registro de AM permanecen sin cambios.

Sugerencia

Use este nuevo registro para probar el escenario de token de Microsoft Entra ID de un extremo a otro. Mueva gradualmente el tráfico al nuevo registro una vez validado.

Exposición de una API y autorización previa de la aplicación Acciones

  1. Seleccione Exponer una API en el panel de navegación izquierdo de la aplicación registrada.

  2. Agregue un URI en Uri de identificador de aplicación. Use el valor de AppIdUri generado en el registro del proveedor. Formato de ejemplo: api://auth-am-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

  3. Agregue el ámbito de esta aplicación en la sección Agregar un ámbito (por ejemplo, Global.Test).

  4. Elija un valor para ¿Quién puede dar su consentimiento?.

    • Administradores y usuarios: Consentimiento de cualquiera de las dos obras.
    • Solo administradores (recomendado): Solo funciona la aprobación del administrador.

    Una vez que un administrador lo autoriza, el consentimiento se aplica a todo el inquilino y no se vuelve a solicitar a los usuarios.

  5. Vaya a Agregar una aplicación cliente y autorice el identificador 48af08dc-f6d2-435f-b2a7-069abd99c086 de aplicación de acción a los ámbitos que ha creado.

Validación del token de Microsoft Entra ID

Cuando el servicio reciba el token en la solicitud del servicio Actions, consórelo. Para obtener más información sobre la validación de tokens, consulte Tokens de acceso en el Plataforma de identidad de Microsoft.

También hay ejemplos de código para Plataforma de identidad de Microsoft autenticación y autorización para la validación en el lenguaje o marco preferidos.

Token de ejemplo

{
  "alg": "RS256",
  "kid": "27643737-6767-4678-9714-96485a53e23b",
  "typ": "JWT"
}.{
  "aud": "https://graph.microsoft.com/",
  "iss": "https://login.microsoftonline.com/1234567890",
  "iat": 1673495600,
  "nbf": 1673495600,
  "exp": 1673499200,
  "aio": "AWQAm/8TAAAAbIRXVv66AlGAbTpvmfbtyMHZVpuhGjjasLVHf73tIlZI6dtwBFJQFCXUTDLxNnopKxopumbIJAMd3LqIQ==",
  "azp": "1234567890-abcdefghijklmnopqrstuv",
  "amr": [
    "pwd"
  ],
  "family_name": "Doe",
  "given_name": "John",
  "groups": [
    "Admins",
    "Users"
  ],
  "preferred_username": "[email protected]",
  "sub": "AUCeKGQXBnSqpWfTYEk0li8TyNul1QSuSxcPplBAwaQ",
  "tid": "1234567890",
  "uti": "yvEyycOza9zpyjmgkdDqA",
  "ver": "2.0"
}.[Signature]

Obtener la aprobación de los administradores

Para que un registro de mensajes accionable de ámbito global funcione en cualquier inquilino, el administrador de inquilinos debe dar su consentimiento a la aplicación que hospeda la dirección URL de destino. Los administradores pueden conceder consentimiento mediante el panel de desarrolladores de Email accionable.

  1. Vaya al Panel de desarrolladores de Email accionable y seleccione el botón Consentimiento de AAD (panel izquierdo).

    Captura de pantalla del panel de desarrolladores de Email accionable en la que se muestra el botón Consent 3P Apps (Consent 3P Apps)

  2. Se abre el panel de consentimiento de Administración, donde se enumeran todos los proveedores de terceros. Las aplicaciones que necesitan consentimiento muestran un botón Conceder consentimiento .

    Panel de AM Email

  3. Seleccione Conceder consentimiento para iniciar el flujo de consentimiento. Inicie sesión y revise los permisos solicitados.

  4. Asegúrese de que el consentimiento en nombre de su organización está seleccionado para el consentimiento de todo el inquilino.

  5. Seleccione Aceptar para conceder el consentimiento. La aplicación Microsoft Entra ahora está autorizada en el inquilino. El explorador redirige de nuevo al panel donde el estado de la aplicación es Consentido.

    Pantalla de permisos de usuario

  6. Si el estado sigue siendo Consentimiento, use el botón Actualizar estado de consentimiento para actualizar.

  7. Use la barra de búsqueda para buscar un proveedor por nombre, identificador de proveedor o Microsoft Entra ID.

    Barra de búsqueda en el portal de AM

  8. Para quitar el consentimiento, abra el Azure Portal y seleccione Aplicaciones empresariales. Busque la entidad de servicio de la aplicación y elimínela en Propiedades.

    pantalla Azure Portal

  • Last updated on