为什么一些Microsoft Graph作用域在某些租户上要求管理员同意,而在另一些租户上只要求用户授权的权限?
Microsoft Graph是微软提供的一种API,用于访问和管理Microsoft 365中的数据和服务。作用域(scope)是指在使用Microsoft Graph API时,需要向用户或管理员请求的权限范围。
为什么一些Microsoft Graph作用域在某些租户上要求管理员同意,而在另一些租户上只要求用户授权的权限?
这是因为在Microsoft 365中,租户的管理员可以对不同的应用程序进行配置和管理,包括对应用程序的权限进行控制。管理员可以决定是否允许应用程序请求某些敏感权限,并决定是否需要管理员的同意。
对于一些敏感的作用域,例如访问用户的邮件、日历等敏感信息,微软要求在某些租户上必须由管理员同意,以确保用户的隐私和数据安全。这意味着用户在使用应用程序时,需要管理员的授权才能访问这些敏感权限。
而对于一些非敏感的作用域,例如访问用户的基本信息、文件等普通权限,微软允许用户自行授权,无需管理员的干预。这样可以提高用户的便利性和使用体验。
需要注意的是,具体哪些作用域需要管理员同意,哪些作用域只需要用户授权,是由租户的管理员根据安全策略和需求进行配置的。因此,在不同的租户中,对于同一个作用域可能存在不同的授权要求。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云云函数(Serverless):https://cloud.tencent.com/product/scf
- 腾讯云容器服务:https://cloud.tencent.com/product/ccs
- 腾讯云数据库:https://cloud.tencent.com/product/cdb
- 腾讯云CDN加速:https://cloud.tencent.com/product/cdn
相关·内容
我的应用程序是多租户,并在AAD中注册,以访问具有Sites.ReadWrite.All用户授权权限/范围的网站。在一些租户中,OAuth令牌获取在获得用户同意的情况下工作得很好,不出所料,但对于其他租户,如微软公司租户,则需要管理员同意。
这是一种未经记录的行为吗
浏览 14提问于2019-11-08得票数 1
我们已经在微软的应用程序门户中注册了一个应用程序,我正在尝试授予我的应用程序的Mail.Read和User.Read应用程序权限,但添加的每个权限都显示为“仅限管理员”,例如"Mail.Read (仅限管理员因此,无论请求是什么,我的应用程序都会得到401未授权。我不是门户的管理员,只是应用程序的所有者,但是我真的很困惑为什么<
浏览 1提问于2018-08-18得票数 1
我在Azure上注册了一个“Native client应用程序”,并且只选择了一个权限:“Microsoft Graph”作用域下的“Read all groups”。问题:来自其他租户的用户得到了“由于缺乏许可,呼叫主体无法同意”的限制。错误,并且没有进入同意步骤。如果用户拥有管理员
浏览 2提问于2016-02-05得票数 4
/.default
奇怪的是,如果我用管理用户调用这个端点,我可以同意应用程序,,甚至所有的应用程序权限。这对我来说很奇怪,因为我认为管理同意
浏览 1提问于2020-06-04得票数 4
我们有一个使用授权码授权的Microsoft Graph API的实现。我们需要它能够访问租户的所有日历,所以我们将Calendars.ReadWrite添加到作用域(Calendars.ReadWrite.all不存在)。到目前为止,只能使用它访问一个用户的日历(无论使用哪个帐户来授予对应用程序的访问权限)。似乎Calendars.ReadWr
浏览 29提问于2020-11-24得票数 0
回答已采纳
我有一个AAD2.0“聚合”应用程序(通过创建),它只要求授权权限,不需要管理员的同意。
它在许多具有默认设置的AAD实例上成功安装和运行,但如果管理员禁用了允许用户同意应用程序的功能,则无法安装。使用当前的auth流,管理员可以很好地安装它(对于自己,而不是整个租户),普通用户可以看到AADSTS90093: An admin
浏览 14提问于2017-06-15得票数 0
我们正在开发一个与Microsoft图形API集成的应用程序。现在,我可以使用Microsoft登录,使用用户的授权访问,例如读取工作帐户和个人帐户的用户配置文件等。如果是Microsoft工作帐户,我们希望读取用户的组信息。从,要读取用户的组信息,我们需要管理员的同意。但我们怎么能得到呢?我四处寻找,但没有得
浏览 5提问于2016-06-14得票数 3
回答已采纳
我已经配置了Cortana连接帐户,以获得对Graph的访问令牌。我的bot代码使用这个令牌来调用MS Teams。
Cortana正确地调用我的技能机器人并提示用户登录。在成功登录之后,我已经在代码中验证了我正在获得访问令牌。使用此标记,当我的bot代码调用https://graph.microsoft.com/v1.0/me/joinedTeams时,我将得到响应
浏览 0提问于2019-01-23得票数 2
后端需要通过EWS访问用户的交换信息
此操作不使用基于令牌的身份验证。这是一个邮件应用程序使用的SSO到后端,而不是后端访问Exchange。OAUTH是理想的,但对于
浏览 2提问于2014-06-24得票数 5
回答已采纳
我想通过利用不需要管理员同意的授权访问权限来获得登录用户的组成员资格,因为我不希望新AAD租户的入职过程要求管理员在那里授予我的应用程序特殊权限。这可以在没有任何管理员同意的情况下完成。实际上,所需的唯一委托权限是openid ie登录<e
浏览 0提问于2019-03-20得票数 2
回答已采纳
Graph从Postman调用,只有在目标用户是Azure Global Administrator用户时才返回有效的JSON结果,该用户为整个Azure租户授予MS Graph权限的Admin许可。但是,它只适用于获得管理员同意权限的管理员用户的联系人文件夹和联系人。“管理
浏览 5提问于2019-11-04得票数 0
回答已采纳
在管理员同意后,您将被重定向。Params包括租户,但这可以由用户更改。因此,如果有人用授予管理权限的我应用程序的另一个客户的id替换了承租者的id,他们就可以访问其他人的数据。
浏览 15提问于2021-12-27得票数 0
我现在在看这个
突出的部分让我感到困惑。一个人到底该如何授权我的应用程序订阅他们的邮箱资源呢?
浏览 6提问于2020-07-27得票数 0
回答已采纳
3回答
我试图通过JavaScript与adal.js和jQuery (OAuth隐式流)集成到OAuth API中,但我在为用户创建日历事件时遇到了问题。我现有的代码在检索电子邮件和日历事件时运行良好,但当我试图创建日历事件时,我始终会得到"403禁止的“响应。我们的</em
浏览 2提问于2016-01-19得票数 5
1回答
我正在开发一个本地应用程序,它必须显示Office 365组,用户是其中之一。为此,我将Microsoft称为需要身份验证。我在用ADAL图书馆。
所需的权限需要管理员的同意。对于我的租户的用户来说,一切都很好,但是当我试图使用另一个租户的帐户进行身份验证时,它就不起作用了。即使我在第一次连接上使用了管理帐户。我从来没有被<em
浏览 2提问于2017-04-14得票数 0
回答已采纳
我请求以下作用域(URL编码):使用新的Microsoft使用OAuth 2.0的授权过程似乎工作得很好,但是当使用访问令牌通过XOAuth2连接到IMAP时,我得到了一个NO AUTHENTICATE,这表
浏览 4提问于2020-12-14得票数 0
回答已采纳
我试图通过Graph重置另一个用户的密码(特别是graph.windows.net,尽管使用graph.microsoft.com也会发生相同的行为)。
我相信所有的保安都准备好了。应用程序注册具有Directory.ReadWrite.All权限,服务主体是全局管理员。没有关于权限不足的错误,但是每当我试图在密码配置文件中提供密码时,我都会得到一个错误。api-version=1
浏览 0提问于2018-09-10得票数 1
回答已采纳
/user.read&state=1234&nonce={nonce}这似乎也很好,我的管理员告诉我,他们将代表租户中的所有用户同意。这是有
浏览 0提问于2017-03-16得票数 1
回答已采纳
1回答
无法获得Azure广告用户组
、、、、
目前,我正在使用node.js护照库使用OIDC策略进行身份验证,使用的是一个使用客户端ID和机密注册的蓝色应用程序。http://login.microsoftonline.com/{org id}/v2.0/.well-known/openid-configuration
我没有任何困难,以获得用户的个人资料,谁登录在我的应用程序中,我需要根据用户的活动目录组对他们进行授权</em
浏览 1提问于2019-04-01得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
