使用client credential grant flow时,应用需要管理员的同意。我很好奇这种同意需要哪种管理员/ admin role。它必须是全局管理员吗?还是更具限制性?
答案 0 :(得分:3)
很遗憾,没有Graphs Admin角色; Microsoft已将大多数内容的管理角色转换为Global Admin角色。但是,您可以在此处采取一些步骤来授予访问权限。是否根据要求决定是否要遵循它们。步骤说明如下:https://blogs.msdn.microsoft.com/aaddevsup/2018/05/02/granting-tenant-admin-consent-for-microsoft-graph-explorer/
为所有用户提供Microsoft Graph Explorer的同意
发生此错误的原因是,试图使用图形浏览器的用户正在尝试利用需要管理员同意的v2权限。有关v2终结点的权限/范围在此处的链接中进行了描述:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-scopes
分辨率
为解决此问题,Microsoft Graph Explorer提供了一个方便的预先开发的URL,供用户提供租户的全局管理员,以代表租户中的所有用户授予管理员同意。当前,这是允许用户使用Microsoft Graph Explorer来获得对Microsoft Graph API的访问的唯一方法,并且需要获得管理员同意。
您还可以从以下更易于开发的页面上了解如何操作:https://developer.microsoft.com/en-us/graph/docs/concepts/auth_v2_service