我们正在使用webhook通过订阅在我们的系统中获取AD用户更改。为此,我们在Azure AD中注册了一个应用程序,该应用程序通过Graph API具有对用户更改的读取权限。
由于webhook订阅在2.5天后到期,我们需要通过我们的应用程序续订订阅。任何人都可以帮助让我知道应用程序需要在图表上更新webhook的最低权限,因为我们无法提供对此应用程序的大量访问权。
答案 0 :(得分:0)
同意“User.Read.All”的应用程序应足以创建&更新“用户”资源类型的订阅。
https://developer.microsoft.com/en-us/graph/docs/api-reference/beta/api/subscription_update
这不起作用吗?
答案 1 :(得分:0)
根据Microsoft Graph文档here (Permissions Section):创建订阅需要对应用将接收通知的资源具有读取权限-因此,如果创建需要订阅,则可以打赌更新它也将。例如,如果您要续订的订阅监视一个邮箱,则该服务需要具有Mail.Read权限除读取用户帐户所需的Users.Read.All权限(其订阅是属性)。
另外,从将我的头撞到墙上的几个小时中,还有一些其他有用的提示:
1)您还需要注意,有两种类型的权限:委托和应用程序。刚开始使用MS Graph时,我总是对此感到迷恋-因此您可以read up here以确保您了解它并已应用适当的权限。
2)另外,请确保您的admin has consented 并且如果您随时更改任何权限,您的管理员必须重新同意,以便使新权限生效-即当您更新它们以拥有Mail.Read或其他任何权限时。还请记住,执行此操作时,您将要确保刷新以前的身份验证令牌缓存以强制刷新,以便新令牌也将在那里具有适当的权限。