我已经进行了广泛搜索,以了解如何更改Microsoft Graph应用的设置,因此我只允许从自己的域登录。
由于从Graph登录使用了所有Microsoft帐户,因此我一直在寻找不同的解决方案,从查找自定义令牌终结点到更改应用程序清单。
在清单中我可以找到这个"signInAudience": "AzureADandPersonalMicrosoftAccount"-但在文档中找不到其他的选择。
also on this Microsoft page I can find this information
整体解决方案包括以下组件:
- Azure AD –如果存在
Restrict-Access-To-Tenants: <permitted tenant list>,则Azure AD仅为允许的租户颁发安全令牌。
在线上是否有任何好的指南,或者谁知道我可以如何限制仅使用@xxxxx.com帐户或xxxxx.onmicrosoft.com帐户登录的人员的访问权限?
答案 0 :(得分:2)
我认为您误解了Microsoft Graph的工作方式。它连接到认证用户的租户/域。因此,如果我通过x进行身份验证,则该应用程序将只能访问y租户。
就身份验证过程本身而言,这由Azure AD处理。 Microsoft Graph仅接受令牌AAD返回。您可以通过更改应用程序正在使用的user@contoso.com和contoso.com URLs 将该过程限制于给定租户的用户。
在大多数情况下,应用程序使用/Authorization租户。当用户针对/Token进行身份验证时,AAD会发现用户的实际租户/域,并将请求路由到该AAD实例进行处理。这些网址如下所示:
/common /common 如果要将身份验证限制为单个租户,则可以跳过发现过程,并强制AAD / OAuth对单个AAD租户进行身份验证。只有该租户中存在的用户才能进行身份验证。通过将https://login.microsoftonline.com/common/oauth2/v2.0/authorize与租户ID交换来完成:
https://login.microsoftonline.com/common/oauth2/v2.0/token /common