Objetivo
1. Permisos delegados (Microsoft Graph)
Uso: inicio de sesión SSO + conector MCP + complementos de Office.
Registros de aplicaciones > Administrar > Permisos de API > + Agregar un permiso > Microsoft Graph > Permisos delegados.
Identidad / inicio de sesión (SSO)
openidprofileemailUser.ReadUser.ReadBasic.All
Correo (Outlook)
Mail.ReadMail.ReadWrite.SharedMail.Send.SharedMailboxSettings.Read
Calendario
Calendars.ReadWrite.Shared
Archivos / SharePoint
Files.ReadFiles.Read.AllSites.Read.All
Contactos / personas
Contacts.ReadWrite.SharedPeople.Read.AllPresence.Read
Tareas / notas
Tasks.ReadWriteTasks.ReadWrite.SharedNotes.Read.AllNotes.ReadWrite
Teams (chats / canales / reuniones)
Team.ReadBasic.AllChannel.ReadBasic.AllChannelMessage.SendChat.CreateChat.ReadWriteChatMessage.SendOnlineMeetings.ReadWrite
Grupos
GroupMember.Read.All
2. Permisos de aplicación (Microsoft Graph)
Uso: bot de reuniones de Teams + descubrimiento automático de buzones/sitios. App-only, consentimiento de administrador requerido.
+ Agregar un permiso > Microsoft Graph > Permisos de aplicación.
Descubrimiento (back-end)
User.Read.AllMailboxSettings.ReadReports.Read.All
Bot de reuniones de Teams (teamsbot)
Calls.AccessMedia.AllCalls.JoinGroupCall.All← en singular (JoinGroupCall), noJoinGroupCallsCalls.JoinGroupCallAsGuest.AllCalls.Initiate.AllOnlineMeetings.Read.All← como permiso de aplicación (el bot se ejecuta sin usuario conectado)Chat.Read.AllChat.Read.WhereInstalledChat.ReadWrite.AllChat.ReadWrite.WhereInstalledChatMessage.Read.AllGroupMember.Read.AllCalendars.Read
3. Consentimiento específico del recurso (RSC)
Se declara en el manifiesto de la aplicación de Teams (authorization.permissions.resourceSpecific), no en Entra.
Calls.AccessMedia.ChatCalls.JoinGroupCalls.Chat← en plural (JoinGroupCalls) para el RSC
4. Complementos de Office (add-ins)
Dos ajustes en el registro, requeridos para la autenticación anidada (NAA) de los complementos de Office.
4.1 Autenticación — Aplicación de página única (SPA)
Pestaña Autenticación > + Agregar una plataforma > Aplicación de página única. URI de redirección con el formato brk-multihub://<dominio> (solo el origen, sin subruta):
4.2 Exponer una API
Pestaña Exponer una API:
- Ámbito expuesto:
access_as_user(api://<clientId>/access_as_user) - Quién puede dar consentimiento: Administradores y usuarios
5. Configuración adicional del bot de Teams (fuera de los permisos)
Ya está implementada si el teamsbot actual funciona — reutilizar tal cual.
-
Azure Bot Service: registro del bot vinculado al App ID, canal de Teams, Llamadas habilitadas, webhook de notificación.
-
Grabación de cumplimiento (compliance recording) — esto es lo que hace que el bot se una automáticamente a todas las reuniones/llamadas (modos
all/all-except):New-CsOnlineApplicationInstance -UserPrincipalName <upn> -DisplayName <nombre> -ApplicationId <App ID> New-CsTeamsComplianceRecordingPolicy -Enabled $true -Identity <policy> Set-CsTeamsComplianceRecordingPolicy -Identity <policy> -ComplianceRecordingApplications @(New-CsTeamsComplianceRecordingApplication -Parent <policy> -Id <App ID>) Grant-CsTeamsComplianceRecordingPolicy -Identity <usuario> -PolicyName <policy>
6. Conceder el consentimiento de administrador
Registros de aplicaciones > Permisos de API > Conceder consentimiento de administrador para su inquilino.
Fuentes de los permisos del bot: Microsoft Learn — "Register Calls & Meetings Bot" y el ejemplo oficial PolicyRecordingBot (microsoft-graph-comms-samples). Permisos delegados: conector M365 de la plataforma de IA.
¿Necesita ayuda?
Nuestro equipo puede realizar estos pasos con usted en una reunión con pantalla compartida.