添加需要管理员同意的权限时，Azure AD同意

Question

我有一个使用ADAL进行多租户Azure AD v1应用程序身份验证的桌面应用程序。

我的应用程序的版本1仅需要不需要管理员同意的委派权限：

• Microsoft Graph-登录并读取用户配置文件
• 在线Skype for Business-创建Skype会议

版本2现在需要额外的权限，需要管理员的同意：

• Microsoft Graph-以登录用户身份访问目录

我已使用此权限更新了Azure AD应用，并使用与该应用位于同一租户中的管理员用户通过Azure AD门户授予了管理员同意。

以已经同意版本1权限集（也与应用程序位于同一租户中）的非管理员用户身份登录，我在访问权限的“ scp”属性中看不到新权限我收到的令牌-因此，我假设这意味着我没有获得新的许可。

然后我尝试使用“ prompt = consent”以用户的身份重新同意，但收到

  

AADSTS90094：授予需要管理员权限

暗示尚未设置管理员同意-尽管门户网站报告已设置同意。

从我读过的所有内容来看，这似乎应该可以正常工作，所以我正在努力寻找问题所在。我该如何工作？

Answer 1

我认为这是一个配置问题。首先，检查您的权限类型是否遵循“作为应用程序”流程。

这里的线索是您如何描述权限：“以登录用户身份访问目录”

在我看来，这听起来像是“代表”流程，而不是“作为应用程序”流程。