凡管理僅管理員MS圖形權限通過申請登記門戶

Question

註冊我創建的應用程序註冊門戶網站的本地應用程序在https://apps.dev.microsoft.com

我已經配置了基於iOS版MSAL框架的Xcode項目，並且能夠在僅需要用戶的同意時使用MS Graph的數據（如User.ReadBasic.All）

但是，如果我想訪問User.Read.All作用域，則它不起作用。我遇到了要求管理員授予訪問權限（按預期），但我的管理員無法找到提供必要權限的位置。

當在webview「授權訪問」屏幕（請參閱下面的屏幕截圖）中提示輸入管理員憑據時無法使用管理員憑據（重新導向到同一屏幕，看起來不接受管理員憑據作爲管理員憑據）。

我們不知道這是否是授予應用程序的權限無論如何，因爲文檔不明確有關管理員如何授予必要的權限的方式。

我們無法在授予管理員權限的Azure AD中找到該位置。

有很多關於如何使用MSAL框架的文檔，但似乎沒有這一步。

Answer 1

將您的應用程序需要在應用程序註冊門戶的微軟圖形權限後，您可以手動在瀏覽器重定向到管理員同意端點請求管理員同意：

GET https://login.microsoftonline.com/{tenant}/adminconsent? 
client_id=6731de76-14a6-49ae-97bc-6eba6914391e 
&state=12345 
&redirect_uri=http://localhost/myapp/permissions 

請點擊這裏瞭解更多詳細講述admin consent endpoint 。

對於iOS，重定向網址需要與應用程序中註冊的URL方案匹配，如果您在apps.dev.microsoft.com上創建應用程序時使用了引導安裝程序，則該方案爲msal {client-id}：// auth。只有當您將管理員同意端點置於安裝該應用程序的手機的瀏覽器中時纔有效，因爲否則無法重定向。