Groups.ReadBasic.All 的替代方案 - 未经管理员同意访问群组
Alternative to Groups.ReadBasic.All - access Groups without Admin consent
我有一个应用程序使用 Azure AD 在未经管理员同意的情况下访问 Microsoft Graph。
我想将 Office 365 组功能引入我的应用程序以管理我的应用程序对象的可见性。基本上,我需要在未经管理员同意的情况下使用委托范围做两件事:
- 用户必须能够看到租户中群组的基本信息
- 检查当前用户是否属于给定组
我看到两种方法:
等待Groups.ReadBasic.All
确实,Groups.Read.All 确实需要管理员同意,因此现在无法在我们的场景中使用它。那么我的问题是,是否为 Microsoft Graph 计划了这样的范围?
仅限管理员使用群组管理功能。
我可以将组管理功能限制为管理员或等待管理员同意,但应用程序的其余部分必须仍可用于非管理员同意工作流。有办法实现吗?
我看到的唯一方法是在 Azure AD 中注册两个不同的应用程序:myApp 和 myApp - Extended Permissions。但是,我不认为这是为同一个逻辑应用程序拥有两个 Azure AD 应用程序的正确方法。
#1 已经在卡片上,但我现在不能给你一个具体的预计到达时间,但我希望它很快就会可用。 应该 给你想要的东西。
在 #2 上,这是可能的,我们称之为增量或动态同意的功能。它只能通过新 v2 authentication endpoint 获得。作为授权请求的一部分,您可以指定所需的权限范围,- 在后续请求中,您可以请求其他范围。但是,在您的情况下,您想要的附加范围是您希望管理员代表组织同意的范围。这还不太可能,但也即将到来。 #1 和 #2 可能同时着陆 ;)
我们将在 #1 和 #2 可用时更新此线程。
我有一个应用程序使用 Azure AD 在未经管理员同意的情况下访问 Microsoft Graph。
我想将 Office 365 组功能引入我的应用程序以管理我的应用程序对象的可见性。基本上,我需要在未经管理员同意的情况下使用委托范围做两件事:
- 用户必须能够看到租户中群组的基本信息
- 检查当前用户是否属于给定组
我看到两种方法:
等待
Groups.ReadBasic.All确实,
Groups.Read.All确实需要管理员同意,因此现在无法在我们的场景中使用它。那么我的问题是,是否为 Microsoft Graph 计划了这样的范围?仅限管理员使用群组管理功能。
我可以将组管理功能限制为管理员或等待管理员同意,但应用程序的其余部分必须仍可用于非管理员同意工作流。有办法实现吗?
我看到的唯一方法是在 Azure AD 中注册两个不同的应用程序:
myApp和myApp - Extended Permissions。但是,我不认为这是为同一个逻辑应用程序拥有两个 Azure AD 应用程序的正确方法。
#1 已经在卡片上,但我现在不能给你一个具体的预计到达时间,但我希望它很快就会可用。 应该 给你想要的东西。
在 #2 上,这是可能的,我们称之为增量或动态同意的功能。它只能通过新 v2 authentication endpoint 获得。作为授权请求的一部分,您可以指定所需的权限范围,- 在后续请求中,您可以请求其他范围。但是,在您的情况下,您想要的附加范围是您希望管理员代表组织同意的范围。这还不太可能,但也即将到来。 #1 和 #2 可能同时着陆 ;)
我们将在 #1 和 #2 可用时更新此线程。