我有一个使用Azure AD访问Microsoft Graph但没有管理员同意的应用程序。
我想在我的应用程序中引入Office 365 Groups功能,以管理应用程序对象的可见性。基本上,我需要两个使用委托范围而没有管理员同意的东西:
我看到两种方法:
等待Groups.ReadBasic.All
确实,Groups.Read.All确实需要管理员同意,因此现在无法在我们的方案中使用它。我的问题是,这个范围是否计划用于Microsoft Graph?
将群组管理功能限制为仅限管理员。
我可以将群组管理功能限制为管理员或等待管理员同意,但应用程序的其余部分仍可用于非管理员同意工作流程。有没有办法实现这个目标?我看到这一点的唯一方法是在Azure AD中注册两个不同的应用程序:myApp和myApp - 扩展权限。然而,它闻起来并不好看,看起来很复杂。
答案 0 :(得分:4)
所以排名第一,但我现在无法给你一个具体的ETA,但我希望它很快就会上市。那个应该给你你想要的东西。
在#2上,这是可能的,它是我们称之为增量或动态同意的功能。它只能通过新的v2 authentication endpoint获得。作为授权请求的一部分,您可以指定所需的权限范围, - 在后续请求中,您可以要求其他范围。但是,在您的情况下,您需要的其他范围是您希望管理员代表组织同意的范围。这还不太可能,但也即将推出。可能是#1和#2大约同时出现;)
当#1和#2可用时,我们将更新此主题。
希望这有帮助,