鎖定用戶對Azure Active Directory中目錄的訪問

Question

嗨，我們正在研究如何使用AAD作爲B2B SaaS應用程序的身份提供者。

由於並非所有未來的應用程序用戶都擁有Office 365/AAD帳戶和租戶，因此我們正在考慮將其創建爲SingleTeant應用程序併爲此目的在內部目錄中供應用戶（user1@ourappdir.onmicrosoft。 com等）。

但是據我可以計算，這將允許任何用戶獲得所有其他用戶的列表，例如使用的圖形API。

我可以以任何方式鎖定下來，因此用戶將只能看到信息約他/她的自我，而不是別的什麼，不管他們如何努力。 （Portal，graphApi，powershell ...）

Answer 1

默認情況下，如果您使用Directory role中的用戶帳戶User來生成訪問令牌並以圖形形式請求資源，那麼此令牌僅具有用戶自己。

有兩種可能的情況，允許您從圖形中查看所有用戶配置文件。

1. 您called Microsoft Graph in a service or daemon app
2. 你用來生成令牌處於administrator在租客角色的用戶帳戶。

你可以嘗試使用用戶帳戶User作用繼續測試。您可以參考https://docs.microsoft.com/en-us/azure/active-directory/active-directory-users-assign-role-azure-portal瞭解如何分配用戶角色。