我正在通过执行以下命令向Azure AD租户上的注册应用程序添加证书凭据： connect-msolservice $cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate $cer.Import("<Cert path>") $binCert = $cer.GetRawCertData() $credValue = [System.Convert]::ToBase64String(

我有一个本机客户机，它调用我编写的服务，然后调用Graph API（使用原始调用方的凭据） 这与此处的“onbehalfof”示例完全相同（我的代码与示例的失败方式相同）： 当作为用户从与服务相同的租户（租户a）登录时，一切正常（就像代表示例一样）。当从其他租户（租户B）以用户身份登录时，我在服务中的这一行遇到异常： result = await authContext.AcquireTokenAsync(GraphResourceId, clientCred, userAssertion);

我正在通过新的（apps.dev.microsoft.com）创建一个v2.0应用程序，但找不到为其他非图形API添加作用域的位置。特别是Skype for Business 在经典Azure门户中，我可以访问此屏幕，该屏幕允许我为其他API添加作用域： 在新的应用程序注册门户中，我看到的唯一可以添加作用域的地方是： 而Skype for Business也不是一个选项 如何将Skype for Business scope添加到v2.0应用程序中？Skype for Business AP

我正在尝试为在Office 365中创建、更新或删除的用户创建Webhook（也称为订阅） 对于“changeType”：“updated”它工作正常，但是对于“changeType”：“created”它返回一个错误： 请求如下： { “变更类型”：“创建、更新、删除”， “通知URL”：https://ourLink", “资源”：“用户”， “到期日期时间”：“2017-12-16T14:49:57Z”， “客户状态”：“PE1G9GQIVSE6KNHTUUK9TTS3O660KOAW9Y

我们正在运行一个受Azure AD保护的web应用程序。 用户可以与其他人共享一些表单。我们计划为此使用azure ad来宾邀请API。 但是，我在文档中找不到一个明确的点，即是否可以邀请任何给定的电子邮件地址加入广告，这样任何用户都不会成为任何其他租户或任何microsoft帐户的用户，或者如果该用户始终需要有一个帐户？如果您添加的是来宾用户，则可以使用任何电子邮件，而API就是这样做的 当用户被邀请时，将创建userType Guest的用户实体 因此，他们将获得一个帐户，该帐户将在该租户中

有没有办法升级和降级Azure AD/Microsoft Graph访问级别 例如，用户注册web应用程序后是否只能登录并升级到一个驱动器或降级回登录？我正在寻找一种方法来取消对用户访问的授权，然后使用不同的权限集重新授权，但找不到取消授权的方法。如果使用V2端点，您可以获得增量同意：。 在那里，您可以指定重定向用户登录时需要的作用域 因此，您可以在一开始就需要基本功能，然后如果他们想要启用其他功能/您发布需要额外权限的更新，您可以非常轻松地添加这些功能 至于另一个方向，没有。 一旦用户同意某些

当我在成功授权用户后使用msal.js库时，我在getUser（）上得到null响应，我不确定原因 请确保getUser（）在tokenReceivedcallback内调用。tokenReceivedcallback函数是确定登录是否成功的可靠方法

我的B2C自定义策略设置如下： <TechnicalProfile Id="SM-AAD"> <DisplayName>Session Mananagement Provider</DisplayName> <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.DefaultSSOSessionProvider, Web.TPEngine, Version=1.0.0.0,

我必须在用户旅程中使用作为“授权URL”中的查询字符串传递的对象id预填充用户电子邮件id 我提到了非协议参数 但当我尝试使用ObjectId阅读时，我遇到了一个例外 技术专家 阅读 真的 真的 假的 用户旅程 网址 AppInsight "Statebag": { "Complex-CLMS": { "objectId": "{OAUTH-KV:objId}" } &

在Azure Active Directory管理中心中，我可以在企业应用程序下看到近200个应用程序。如何通过Microsoft graph Explorer获得此信息 我试过这个：https://graph.microsoft.com/beta/applications，但它给了我应用注册下的应用列表 如何通过图形浏览器获取企业应用程序下的所有应用程序列表？Microsoft graph API 我首先分享这些，因为您在问题中特别询问了Microsoft Graph API 请注意，api仅

我正在进行UWP训练，并让它发挥作用。我对它进行了一些调整，因为我正在开发的应用程序注册在一个目录中，而不是我的AAD帐户所属的目录中。我是该目录中的来宾。我做了以下更改： PublicClientApp = PublicClientApplicationBuilder.Create(ClientId) .WithAuthority(AzureCloudInstance.AzurePublic, Te

我将Azure广告与SSO集成到AWS。我使用的是登录AWS CLI，我想在不使用共享配置文件的情况下连接到RDS（MySQL Aurora）——主要是为了有一些审计跟踪，看看谁做了什么 我可以用这些登录到RDS，但我找不到任何方法使用Azure与此集成。实现这一点的一种方法是在IAM中为每个人创建两个配置文件/角色，并将其添加到/.aws/配置文件中，但这需要花费大量时间，而且不会真正利用Azure集成 有没有办法做到这一点？要从Azure AD到AWS IAM获取个人资料，或以任何其他方式绕

为Moodle启用SSO以与Azure AD集成后，当Moodle向Azure AD发送静默登录请求时，它不会响应该请求。并显示以下错误。 AADSTS50058:已发送静默登录请求，但没有用户登录。用于表示用户会话的Cookie未在Azure AD请求中发送。如果用户正在使用Internet Explorer或Edge，并且发送静默登录请求的web应用与Azure AD端点（login.microsoftonline.com）位于不同的IE安全区域，则会发生这种情况 我所期望的是Azure A

我在Visual Studio 2019（预览版5）中设置了一个新的Blazor.NET项目，并添加了Azure AD B2C（AADB2C）并将其部署到Azure Docker AppService 如果我没有在AADB2C中启用OAuth2隐式流，那么使用AADB2C V2登录流会出现以下错误： error=unauthorized_client&error_description=AADB2C90057%3A+The+provided+application+is+not+conf

我得到了这个错误 ExtensionAbservice:getAuthTokenForApp:失败，出现错误-未找到定义 能否请您提供更多信息，以便我们重现您的问题。您是否尝试在URL末尾添加？文档中没有提到有关ISTEAMSSO的任何内容。你能提供一些例子或详细说明吗？@Ayusharia你能分享复制步骤吗？我试图通过深度链接URL打开一个任务模块，我收到了这个错误。这在选项卡和消息传递扩展中也能很好地工作，所以我认为不存在这样的配置问题。

随着NET 5的正式发布，今晚我从NET Core 3.1迁移到NET 5，一切似乎都进展顺利，直到我尝试运行该应用程序，现在在startup.cs中找到了两条与Microsoft Identity Web平台相关的曲线。这显然是一个瞬间的失败！我将无法启动应用程序或登录Azure广告，直到我有这个固定 将csproj文件修改为NET5后，我转到nuget manager并更新了所有包 我完全不知道从哪里开始讨论这个问题：( 带波形的startup.cs文件的屏幕截图： csproj文件：

我有一个运行在Azure中的Angular应用程序，它连接到同样运行在Azure中的WEBAPI。分开的网站。一切正常，但最近在我的API代码中，我开始收到以下警告： Severity Code Description Project File Line Suppression State Warning CS0618 'AzureADAuthenticationBuilderExtensions.AddAzureAD(AuthenticationBuilder, Ac

我正在尝试使用作用域“User.ReadWrite”更新“BusinessPhone”的值，但收到错误消息“权限不足，无法完成操作”。 不过，我可以更新手机的价值。 我正在使用Microsoft Graph。我可以重现您的场景，似乎User.ReadWrite权限不足以更新BusinessPhone属性。您可以添加目录.AccessAsUser.All权限，该权限在测试后生效： Directory.AccessAsUser.All需要管理员同意，您可以使用管理员帐户登录，然后单击授予权限按钮，

我想使用ADID/SAMAccountName/UPN从控制台应用程序中查找人员姓名和电子邮件地址，该应用程序使用其自己的凭据运行，而不是在我的帐户下运行 我将如何使用Microsoft Graph执行此操作 我正在跟进，但似乎需要管理员访问。（顺便问一下，有没有一种简单的方法可以在我公司的图表上找出管理员？） 我确实查找了LDAP查询，但域限制限制了搜索范围，我更愿意通过Microsoft Graph执行此操作。访问Microsoft Graph（即使用OAUTH客户端凭据流）需要您的应用程序

我在Azure门户的应用程序注册刀片中创建了一个Azure广告应用程序。该应用程序已被授予访问Web API（实际上是Azure AD B2C应用程序）的权限。我正在尝试使用客户端凭据（客户端id、客户端机密和资源）从Azure AD获取令牌。在我的开发实例中，Azure AD将返回我的Azure AD V1令牌，但我的测试实例Azure AD将返回我的Azure AD V2令牌 我在两个实例中使用相同的主体输入（grant_类型、client_id、client_secret和resource

是否可以使用应用程序查询Microsoft Graph API，以收集登录/注销、用户创建/删除、组成员身份更改等事件的审核日志信息。？我一直在浏览GraphAPI参考资料，但对我来说似乎并不直接 或者我们应该继续使用Azure AD Graph API吗？我们正在尝试从Office 365 AAD和Azure政府AAD获取数据。我们已经在从Office 365管理API中提取数据，该API具有Active Directory提要，但不确定是否包含我们正在查找的所有内容。您可以使用Microso

无法获取访问令牌，授予类型：密码 网址： 有人能找出哪里出了问题吗。 用户名和密码正确。建议您尝试以下方法： 网址： 请求机构： client_id=<client_id>& scope=https://graph.microsot.com/Mail.Read openid User.Read& grant_type=password& username=<email_id>& client_secret=<client_secret

我们已经使用Microsoft Graph端点一段时间了，以获取所属组的列表 今天，如果调用此端点而不发送筛选器参数（例如，$select=id eq'GroupId'），我们会突然遇到以下错误 这对于我们获取所属组的列表非常有效，但是如果不对我们的组进行排序，我们将不得不重新编写如何获取所属组的列表。你知道为什么今天会发生这种事吗 从我们可以看出，这只会影响某些用户 关于权限，我们仅使用User.Read.All { "error": { "code": "Authorizatio

我们已在委托和应用程序中获得管理员同意ServiceHealth.Read在Azure AD中我们的客户端应用程序的Office 365管理API中的权限 如果我们想调用office365管理api，我们无法确定令牌获取过程中需要哪些范围和/或资源 是否为直接令牌获取的客户端\u凭证授权方法 或授权码然后是登录用户方法的令牌 如果它用于client\u凭证grant方法，则更好，但如果必须通过auth代码，也可以 我们已经可以使用以下内容获取报告，但不知道如何允许该身份验证也涵盖Office36

实际上，我们使用GRAPH API从Jira脚本访问active directory用户和组。 为此，在Azure AD上注册应用程序后，我们使用所谓的“无用户身份验证”，即使用密钥和客户端密钥 我们理解以下几点 在向Graph API发送任何POST请求之前，我们需要获得一个有效的令牌 令牌值与就地权限相关联 如果更改权限，则需要获取一个新的令牌以包含更改 我们的问题如下： 首先，你能确认我们上面所说的是正确的吗 这是否意味着在每次请求之前，我们需要每次请求令牌以确保其有效 每个请求发送的令牌

快速解释： 我们希望将新来宾添加到尽可能精简的Microsoft团队中。通过Powershell将来宾添加到M365组似乎可行，并且来宾会出现在团队成员中，但发送给来宾的URL不会将其加入团队频道。他们会得到一个空的团队仪表板（没有频道）或“您需要访问此团队或频道的权限”，具体取决于URL。从团队中删除来宾，然后通过团队管理门户重新添加他们，效果很好 重新创建的步骤： 有一个团队已经建立并开始工作，例如“MSTeamTest” 在c:\temp中创建一个名为investments.CSV的CSV

我有一个服务结构群集，它运行的服务（无状态ASP.Net核心）不能暴露于Internet。对服务的请求通过API管理路由 Incoming request ==> https://blah.trafficmanager.net/routeName forwarded ==> https://10.0.4.6:[port]/routeName 这在没有身份验证的情况下可以正常工作。我正在连接AAD auth，因为我们需要将其锁定到客户端注册（由于时间框提升请求要求）。我已将服务设置为

是否可以使用以下图形API客户端在Azure AD中创建嵌套组： 您可以使用附加数据在C#中创建组的步骤中添加成员 创建具有所有者和成员的安全组 明确规定。请注意，最多有20个关系，例如所有者和 成员，可以作为组创建的一部分添加 IConfidentialClientApplication-secretentialclientapplication=secretentialclientapplicationbuilder .Create（clientId） .WithTenantId（tenan

目前，可以使用以下REST API获取组（或工作区）的用户（Active Directory）： 在我们的项目中，我们有一个特定的需求，需要访问有权访问报表的用户和组（Active Directory） 有没有一种方法可以使用Power BI REST API实现这一点 概览页面及其下方的菜单点似乎不支持此操作：

我有一个名为nsg properties.json的文件，如下所示： { "securityRules": [ <twenty NSG rules are here> ] } { “安全规则”：[ ] } 我有一个服务主体，只有一个角色分配，它是范围/subscriptions/$SUBSCRIPTION\u ID/resourceGroups/$VNET\u RESOURCE\u GROUP/providers/Microso

我正在尝试将AWS Cognito与用户池一起使用，使用Azure AD作为身份提供者（OpenID Connect） 我在Cognito中设置了用户池，并指定了测试应用程序的回调URL(https://localhost:44381)我在Azure AD中配置了一个应用注册，该应用注册在重定向URI中具有相同的URL 在AWS控制台的“应用程序客户端设置”下，我单击“启动托管UI”对其进行测试。它显示一个页面，允许我选择配置的身份提供程序（Azure AD）。在该页面上，我可以在URL中看到它

在Azure云中，如何在没有全局管理员和有限管理员的情况下管理组用户？我们希望通过应用程序（c#或RestAPI）提供此功能。您似乎在请求具有委托权限范围的Azure Graph REST 委派权限范围适用于用户登录到的应用。这些作用域将登录用户的权限委托给应用程序，允许应用程序充当登录用户授予应用程序的实际特权将是作用域授予的特权与登录用户拥有的特权的最低特权组合（交叉点）。例如，如果权限范围授予写入所有目录对象的委派权限，但登录用户仅具有更新其自己的用户配置文件的权限，则应用程序将只能写入登

我在租户1中有web应用程序，在租户2中有多租户api应用程序；尝试使用“必需权限”刀片配置web应用对api应用的访问。api应用程序未显示在“选择api”刀片中 在创建多租户应用程序定义时，除了为多租户标记“是”之外，我还需要做什么特殊的事情吗？在外部租户中查看多租户Web API之前，必须先将该应用程序的服务主体设置到外部租户中 最简单的方法是简单地登录到Web API，这将导致弹出一个同意屏幕，通过同意应用程序，将创建一个服务主体 从那时起，应用程序门户将找到您的多租户Web API，并

我正在尝试下载/上载Intune移动应用程序的MSI 我可以通过以下方式获取应用程序列表： https://graph.microsoft.com/beta/deviceAppManagement/mobileApps 我还可以通过以下方式获取单个移动应用程序的详细信息： https://graph.microsoft.com/beta/deviceAppManagement/mobileApps/42454cd8-cba9-4946-bae2-b66e7ca54799/ 但使用以下调用获取

最近，一个团队的经理辞职了，他是微软团队应用程序中几个团队的所有者。我禁用了他的域帐户，结果这些团队没有所有者。这些团队的成员要求我将其中一个提升为新的所有者。这可行吗？或者我应该在Microsoft团队中创建一个新团队？或者启用以前的帐户升级某人，然后再次禁用？向团队添加新所有者很简单，但需要Office 365的管理员权限 在Office 365管理中心中，浏览到组 选择有问题的团队并显示其属性 在所有者下，单击编辑>添加所有者 选择一个新的所有者，然后单击保存 传播所有者更改最多可以持续一

我目前正在尝试在Node.js中使用Microsoft Graph直接登录日历/用户 到目前为止，我所做的工作如下： 登录该帐户并确保其当前有日历（该电子邮件在@outlook.com下注册） 转到azure门户并创建一个新的AAD名称“Calendar Api”web Api，返回 URLhttp://localhost:3000 AAD->App Registration->Name:Test，回复url:localhost:3000，Microsoft Graph（用户读/写，日历读/写）

我试图找到一种方法，通过编程方式更改企业应用程序（非目录应用程序）的属性，特别是“资源调配”刀片中的秘密令牌和租户ULR，从而允许在AAD和支持它的外部应用程序（例如SaaS应用程序）之间同步用户/组对象 我的客户有一个严格的策略，定期轮换Azure中的所有机密和密钥，因此他们希望能够有一个自动化运行手册，可以在应用程序（实际上是一个支持此同步的Azure DataRicks实例）以及AAD中更改该令牌 我检查了是否存在直接PowerShell支持，但找不到适用于此场景的特定cmdlet（尝试了

只是想知道你能否帮我回答下面的问题？O Microsoft Azure AD B2C是否支持多租户应用程序？比如说, 我创建了一个Azure B2C服务呼叫租户A，将该服务链接到我的订阅帐户。然后我创建用户TenantAAdmin作为该租户的管理员（全局管理员）。此管理员用户可以在Azure AD B2C中分配或创建其他用户 我创建了另一个Azure B2C服务呼叫租户B，将该服务链接到我的订阅帐户。然后，我创建用户TenantBAdmin作为该租户的管理员（全局管理员）。此管理员用户可以在Az

在Azure广告应用程序注册中，我们有“所有者”选项卡。它显示“除了具有管理任何应用程序权限的用户外，此处列出的用户还可以查看和编辑此应用程序注册。”。我们的文档显示，“更改应用程序属性，如应用程序请求的名称和权限” 应用程序所有者能否更改“API权限”/“授予许可”/“添加权限”等？如果是，他们是如何做到的（编程方式、API、PowerShell模块？） 应用程序所有权图像-应用程序所有者将能够更改/添加API权限，但他将无法对管理员同意所需的权限授予同意，若要要求最终用户在每次进行身份验证时

我看到了大量关于使用服务器端Blazor应用程序启用Azure广告的文档/示例。不幸的是，Asp.net托管的Blazor应用程序似乎没有（0）个文档 至少，我想用Azure AD保护API。 但同样不幸的是，Asp.net托管Blazor项目的VS项目模板不允许任何身份验证选项 现在这是不可能的吗？ 我们能期待这一切吗 是否在未来（希望在不久的将来）得到支持 谢谢。肯定有这方面的文档 你看过这些指南吗 最近也有一篇博客文章 这些是你要找的吗？看起来这是最近才添加的。请检查此项。据我了解

在不使用用户流的情况下，以编程方式更改Azure AD B2C自定义属性值的最佳方法是什么。应该使用Azure AD Graph还是新的Microsoft Graph？我找不到这样做的好文档。对于Azure AD B2C自定义属性，您应该使用Azure AD Graph 自定义属性以如下格式显示在AAD图形中：extension{appId}{customAttribute} 因此，首先需要获取它的appID。您可以使用带有筛选器的应用程序端点来获取应用程序ID:gethttps://graph

团队SSO在消息传递扩展的团队选项卡和任务模块中工作正常，但在获取客户端令牌时，团队Bot任务模块中出现以下错误 extensionabservice:getAuthTokenForApp:失败，出现错误-未找到定义 使用下面的代码在英雄卡的帮助下打开团队机器人中的任务模块- 同样的代码也适用于Android移动应用程序中的团队机器人任务模块。 但由于浏览器、mac和windows的桌面应用程序出现错误，正如Nikitha在评论中提到的，我们已经与工程团队确认，现在团队选项卡上没有该功能，但他

我们正在尝试将Onedrive与Web应用程序集成。目的是在任何事件中将内容从Onedrive获取到WebApplication 我们能够集成并使用Azure Active Directory中的“应用程序注册”，并使用Graph API配置委派，然后使用WebApplication中的客户端id、客户端机密和租户id 在这里，我想了解一下，我们是否可以在azure订阅上创建应用程序，并让其他人（其他公司/客户）使用OAuth进程在他们的azure系统上安装应用程序，以避免创建应用程序和共享其他

是否可以将Azure AD密码保护用于除Microsoft AD之外的其他目录？不幸的是，据我所知，Azure AD密码保护功能当前仅存在于AD租户中，并且当前无法用于除AD租户之外的其他目录。此外，Microsoft也不提供api或sdk供其他目录使用。您的意思是Microsoft是否提供了一些api或sdk来检查密码用户集是否为弱密码？

我在Azure AD中注册了两个应用程序，一个.Net核心web API和一个单页应用程序。我将这些应用程序配置为获取react客户端应用程序的id_令牌，以及用户登录客户端应用程序时使用web API的访问令牌。当用户登录时，我需要将特定于用户的信息发送到我的API（我需要从令牌中获取唯一id以识别用户）。一些文档说我们不能将id_令牌发送到API，因为它是为客户端应用程序发出的。有些人说我们不能通过访问令牌发送特定于用户的信息，因为它应该只用于授权目的 还有别的办法解决我的问题吗 在开放Id

我有一个设置，其中用户通过active directory connect从本地同步到azure active directory，并启用无缝sso进行密码哈希同步身份验证，我还设置了用于加入windows虚拟桌面主机池的azure active directory域服务 问题是azure无缝sso不适用于active directory用户

我正在尝试使用SAML2.0协议在带有Azure AD的移动本机设备中实现SSO。从网络上我可以成功登录，但我找不到一种方法来做同样使用移动客户端。我尝试使用微软Azure提供的Android项目。我能够通过这个项目获得代币。但我不明白下一步需要做什么。我们以前的请求是这样的（没有Azure）： . 对该请求的调用用于向我提供一个SAMLResponse，我在重定向URL中使用了它，作为回报，它用于向我提供用户配置文件的详细信息。现在，由于Azure中的机制完全不同，我不明白在收到访问令牌后应该

我还没有启动任何脚本，但希望首先检查是否可以使用PowerShell配置Azure AD非gallery企业应用程序，该应用程序允许我输入元数据，如实体id、回复URL、登录URL和属性信息 我需要一个开始的建议，如果你能提供一些信息的话？对于powershell，这目前是不可能的。 5月，Microsoft将ServicePrincipals端点添加到1.0 graph api中，用于（企业应用程序）。因此，使用GraphAPI，您可能能够完成它。我知道直到最近这仍然是不可能的，但是今天检查u

我在AAD中创建了许多新用户，但这只是为了访问Power BI。我不希望他们能够使用Outlook、Sharepoint或任何其他资源/应用程序 有没有办法在AAD中进行配置？理想情况下，使用组设置使其适用于组中的所有用户。创建组，将用户添加到组中 将O365订阅分配给组时，仅选择Power BI license 不要向他们分配其他许可证。除了Power BI，他们不能使用其他资源 您还可以逐个分配Power BI许可证

我正在编写一个带有角度前端的.Net核心应用程序 现在用户通过Azure Active Directory进行身份验证，该目录通过Azure门户进行配置。 用户已经成功地通过了身份验证，但作为一名开发人员，我现在还不知道哪个用户已经通过了身份验证 有很多关于如何检索用户信息的Exmaple，这是通过 . 但当我打这个电话时，我得到了一个未经授权的回复。所以一定有办法得到代币之类的东西 我拥有客户端ID、租户ID以及AppServiceAuthSession Cookie。有人能提供代码示例吗？根