我有一个Asp.net MVC应用程序，它使用Azure AD和OpenID Connect OWIN中间件来处理身份验证。除了一件事之外，一切正常：如果用户已经登录到另一个Microsoft应用程序，比如说Office 365帐户或live mail帐户，当尝试登录时，它会收到一个页面，表明不允许登录到我的应用程序，这是正确的，但是，我需要在代码中了解这种情况，以允许用户使用不同的帐户登录。有办法吗？这是故意的吗？我的意思是：用户当时必须只使用live/azure帐户登录？我找不到任何关于此的

我最近问了一个类似的问题，但这是关于AAD B2C的。现在我想知道如何在我的应用程序中正确地向Azure Active Directory身份验证添加策略。目前，我的Startup类如下所示： namespace Auth { public class Startup { public Startup(IHostingEnvironment env) { var builder = new ConfigurationBuil

我正在尝试获取一个简单的adal.js示例，以运行一个基本的asp.net核心mvc项目（无授权属性）。当我在下面运行时，我会按预期重定向到AAD，我单击我的用户，然后很快重定向回我的页面，然后返回到AAD登录对话框。我得到一个“需要用户登录”。你知道我做错了什么吗 var variables = { // Domain of Azure AD tenant azureAD: "xx.onmicrosoft.com", // ClientId of Azure AD ap

我正在进行ADFS身份验证，当我从Microsoft团队单击“登录”按钮时，我将被重定向到我的URL，在页面被重定向后，我收到以下错误： AADSTS90015:请求的查询字符串太长。 我尝试了以下解决方案： 和 但是我无法解决这个问题，请帮助我解决这个问题。您链接的两个问题中的解决方案不完整。尝试将以下内容添加到web.config： <system.webServer> <security> <requestFiltering>

我们正在开发一个应用程序，用户将通过AD B2C进行身份验证。然后，用户需要访问其他服务，如嵌入式power BI等，这些服务只支持Azure广告，而不支持B2C 有哪些选项可供认证B2C用户访问嵌入式Power BI报告 我们可以让B2C成为Azure广告租户的身份提供商吗？如果有，有什么例子吗 我们可以在B2C和Azure广告之间使用SSO吗 我们可以让B2C成为Azure广告租户的身份提供商吗？若有,详情为何? 示例可用吗 Azure B2C租户是基于普通Azure广告开发的，仅用于使用A

步骤： 使用我的Microsoft帐户授权第三方应用程序 从我的应用程序门户吊销应用程序的权限 转到第三方应用程序，在访问令牌过期之前，该应用程序仍可使用访问令牌通过Microsoft Graph API获取数据。因为当访问令牌过期时，它将无法刷新令牌 因此，在访问令牌过期之前，即使用户撤销权限，应用程序仍然可以获取数据 专家： 当用户撤销权限时拒绝应用程序的请求 或 有一些方法让应用程序知道用户是否已撤销权限这是预期的行为。Azure AD发行的访问令牌当前有效，直至到期。撤销同意将阻止应用程

当Azure Active Directory（AAD）用户启用多因素身份验证（MFA）时，验证程序的唯一选项是使用“应用程序密码” 是否可以使用应用程序密码访问Microsoft Graph？基本身份验证通常已被弃用，但也许有一种方法？如果使用应用程序密码访问意味着使用应用程序标识访问Microsoft Graph。。i、 e.clientId和clientSecret仅根据OAuth 2.0客户端凭据授予流（没有任何特定的用户上下文），然后是的，这是绝对可能的，因为Microsoft Gra

我正在使用Azure AD作为身份提供者创建一个web应用程序。我想在Azure AD或Graph API中存储每个用户的机密数据。根据文档，Azure AD用户架构扩展和图形API开放扩展对于给定租户中的每个应用程序都是可见的，并且缺少粒度权限来限制对特定用户[extension]属性的访问。是否有在Azure AD/Graph API中存储机密数据的选项，该选项只能由创建机密数据的应用程序访问，或者存在专门限制访问权限而不限制对常用资源（如用户）的访问？例如，我希望我的应用程序能够读写/us

我有一个大型AAD动态组，我需要搜索和查询成员资格（100K+成员组），并按名称搜索用户。此组基于AAD中用户的自定义属性生成 我正在试图弄清楚我是否可以从MS图中获取这些信息，或者我是否需要将这些调用移到AAD图中 我已经检查了用户的扩展和模式数据，但似乎没有任何内容 自定义属性是否未在MS Graph中复制 我试图解决的问题是： 我有一个人员选择器，希望返回满足此组成员资格的结果。问题是MS Graph不支持对组成员的displayName进行OData查询。由于该组是由自定义属性驱动的，我

我已使用类型为“DropdownSingleSelect”的声明“country”，其中包含要显示的国家列表，并为列表中的“US”国家启用了“SelectByDefault=true” 此控件在用户旅程的第一步显示给用户，用户在下拉列表中更改了值。例如，用户选择“UK” 现在，在用户旅程的第三步（自断言），我必须显示与他选择的值相同的下拉列表，并从用户处获得确认 若我将该声明放在outputclaim中，则会向用户显示下拉列表，但选择默认值“US”。它应该将所选值显示为“UK” 如果我从值列表中

我有一个应用程序正在Azure AD租户中验证MS Graph，我正在使用MSAL调用acquireTokenSilent。有时我的应用程序会收到一个JWT访问令牌，其中amr字段包含mfa，具体来说： amr: [ "pwd", "rsa", "mfa" ] 这导致海外建筑运营管理局令牌交换成功 我的应用程序多次收到JWT访问令牌，其中amr字段包含wia： amr: [ "wia" ] 尝试将此令牌交换为OBO令牌失败 我的应用程序中的身份验证代码中没有任何代码更改。

我正在尝试使用Azure AD将用户登录到我的应用程序，但我无法在我的服务器上获得脱机访问权限（范围） 我的初步要求是： https://login.microsoftonline.com/{tenant}/oauth2/authorize?client_id={client_id}&response_type=code&redirect_uri=https%3A%2F%2Fservice%2Emyserver%2Ecz&scope=user.read%20openid%

我将Azure AD B2C选项添加到外部提供商登录-。后来，我将我的帐户作为外部用户从该租户添加到Azure AD B2C。 很遗憾，当我登录时，我得到“用户不存在。请先注册，然后才能登录。” 当我使用允许我登录的其他策略时，我的帐户会复制为联合Azure Active Directory。 我们如何使用外部用户预填充Azure AD B2C以避免登录新帐户？我希望从租户中移动现有数据，并避免填写不必要的数据。此外，我只允许特定用户登录到我们的应用程序。我猜您的意思是“避免注册新用户” A

有没有办法通过Graph API获取Office365的服务运行状况和信息 我们正试图通过我们的全球监控工具拨打电话，帮助我们监控O365以及其他内容 当我转到it时，it部门告诉我使用Graph API，但随后我无法确定如何从Graph API获取服务运行状况信息，尽管查看了Graph API文档以获取O365的服务健康状况，但您应该使用 请记住向应用程序添加ServiceHealth.Read权限 非常感谢，所以我误解了上面说的使用图形api。

正如许多示例所示，我有两个AAD应用程序注册，一个用于基于javascript的前端，另一个用于仅JSON的web API 如果我完全信任我的客户机AAD应用程序，为什么AAD要求我为我的web API创建第二个AAD应用程序 例如，假设我向客户机AAD应用程序添加了特定角色，如果客户机使用AAD登录并获得包含我的角色的id令牌和访问令牌，它只需要将访问令牌发送到我的API。API只需要破解JWT，验证受众、发行者、租户、角色权限和签名。在这个世界上，web API中不需要客户机机密，也不需要第

在azure active directory中，是否可以针对用户密码过期创建更改通知订阅？这样，客户端应用程序就可以通过编程方式向相关用户发送有关密码过期的提前通知电子邮件。请提供建议。您可以使用更新指定域或租户的密码策略 仅适用于云用户帐户的密码，密码到期通知默认值为14天（密码到期前） 客户端应用程序可以通过编程方式向相关用户发送有关密码过期的提前通知电子邮件 看来这是不可能的。您可以对此进行投票或发表您的意见。谢谢您的回复，但很抱歉，它没有回答我的上述问题。我的实际查询是，如果名字、姓氏

我已经在passport中配置了OIDCStrategy，应用程序重定向到帐户登录，然后我获得了一个访问令牌。在我尝试使用下面的方法保护路由后，它总是重定向到身份验证页面 app.get('/test', (req, res, next) => { if (req.isAuthenticated()) { return next(); } res.redirect('/auth'); }, (request, response, next) => { resp

我正在使用Microsoft.Identity.Web NuGet软件包，以便使用Azure AD将用户登录到Net Core 3.1 WebApp，然后在用户登录后，我使用他们的令牌和作用域调用MS Graph API，从他们的个人资料中获取一些附加数据，例如他们的姓名、姓氏、，用户名等。基本上是关于用户的一些附加信息，这些信息不会自动包含在Azure AD返回的令牌中 这部分工作做得很好 我想要实现的是配置某种形式的系统事件或触发器，以告知用户何时成功登录，然后我将使用此触发器运行Graph

我正在使用microsoft graph api访问azure active directory中的组，我在AAD中创建了两个名为OIC的组和另一个名为testing的组 当我使用MicrosoftGraphExplorer进行测试时，我使用的URL GET https://graph.microsoft.com/v1.0/groups 答复： { "@odata.context": "https://graph.microsoft.com/v1.0/$

我有两个单一租户Azure广告应用程序A和B。应用程序A代表服务，应用程序B代表客户端。我试图允许B使用使用AAD OAuth2客户端凭据流获得的AAD JWT令牌访问A。我在清单中为A定义了一个appRole，并通过App registrations->API Permissions->Add A permission->My API->A->Application Permissions将其添加为B的API权限 这需要管理员同意，即使我是这两个应用程序的所有者 由于我拥有公开应用程序角色的应

我的演示应用程序使用Azure广告B2C。由于是B2C，新用户可以创建自己的帐户。当新用户加入时，我希望： 到事件网格以启动逻辑应用程序 逻辑应用程序将获取一些数据更新CosmosDb容器 向新用户发送电子邮件 传递任何订户都可以阅读的消息 我被困在一开始，因为我找不到任何与Azure Active Directory相关的内容。我找不到与tha相关的教程或任何信息 我的问题是，是否可以使用事件网格对Azure AD中创建的用户做出反应 谢谢您的帮助。我认为此触发器无法实现您的要求。正如我们所

有没有办法从MS Graph中提取给定企业应用程序的用户列表？我可以看到Azure portal正在进行以下查询： 谢谢 根据： 如果资源服务主体是具有应用程序角色的应用程序 授予用户和组后，将返回所有用户和组 为此应用程序分配的应用程序角色 您可以使用此api列出分配给企业应用程序的所有用户或组： https://graph.microsoft.com/beta/servicePrincipals/{id}/appRoleAssignedTo 您需要将{id}替换为对象id 如果我的答案对

我正在尝试筛选具有特定schemaExtension和assignedPlan的用户。但我收到了一个错误响应 这是，还有 反应如下所示 { "error": { "code": "Request_BadRequest", "message": "Unrecognized 'Edm.String' literal 'guid'4828c8ec-dc2e-4779-b502-87ac9ce28a

我看到的所有关于获取访问Azure密钥库的访问令牌的示例都涉及使用ClientId和ClientSecret来请求已知资源的令牌 这很好…但我希望能够使用集成安全性来获取访问密钥库的访问令牌 例如，我有 const string VaultResource = "https://vault.azure.net"; var context = new AuthenticationContext(myTenantAuthority, false); // using integrated auth

在IdentityServer测试主机中，Azure AD的重定向URI配置为“虚拟”URI，例如RedirectUri=”https://localhost:44333/core/aadcb“-虚拟的意思是在/aadcb上没有任何东西。这种设置似乎也在许多独立于Identity Server的Azure广告示例中完成 在使用Azure AD的IdentityServer登录流中，Azure AD回调该虚拟URI，然后重定向到/callback。这种重定向发生在哪里？这样做的目的是什么 我一直在

我们有一个辅助AAD，其中有来自主AAD的访客用户。为来宾用户生成的令牌似乎缺少upn声明，但我们依赖upn声明的存在这一事实，因为我们正在使用upn声明跨系统映射用户 我知道，对于访客Microsoft Live帐户，upn可能缺失，但这些是完整的AAD帐户，仅在另一个AAD中。微软的文档还表明，唯一的名称声明实际上可能不是唯一的 您能告诉我是什么决定了唯一名称声明的价值吗 如果upn声明不存在或是外部访客用户，我们使用此声明回退是否安全 来宾用户令牌内容 { ..,...

当我使用： string graphRequest = $"{graphResourceUri}/me/memberOf?api-version=1.6"; 我得到一个空数组，因为我的登录用户不是任何Azure组的成员（我假设是这样） 我想要的是获取该用户所属的Windows域Active Directory组的列表。没有办法找回这个吗？我不关心Azure组。我发现这是因为我们没有在Active Directory和Azure之间同步任何组，我们只同步用户。同步必要的广告组后，当我在Azure

我正在使用客户端凭据授予流实现Microsoft Graph API，如中所述。此外，该应用程序已在注册 这里的目的是允许我们的web应用程序执行诸如检查用户日历和代表用户发送邮件之类的操作，而不需要每个用户都进行身份验证并授予对应用程序的访问权。这样做的目的是让它对他们透明 所以我想我已经成功了，但我想澄清一些事情 授予管理员许可后，如果应用程序的权限没有更改，是否需要再次执行 当请求访问令牌时，它看起来将在一小时后过期。有没有办法让它变长？否则，确保令牌未过期的典型工作流是什么样的？每次应

我正在尝试使用Azure OAuth2对用户进行身份验证，然后获取有关用户的一些信息。这就是我现在正在做的 如果代码不在URI中，请将其重定向到： 这会将它们重定向回URL，但会在URI中传递代码 该页面从URI获取代码，并向：发出POST请求，主体为： “授权类型”=“授权代码” “代码”=“插入代码” “客户端id”，“插入客户端id” “客户端密码”，“插入客户端密码” 这将返回一个有效的访问令牌 当我试图通过以下方式请求用户信息：在授权标头中使用访问令牌时，我会收到一条错误消息，说明

我正在尝试使用获取访问\u令牌 POST{tenant}/oauth2/v2.0/token 使用用户名和密码的端点，其中tenant={some tenant id} 我用于发出请求的参数有： client_id:{client_id} scope:https://graph.microsoft.com/Calendars.ReadWrite client_secret:{client_secret} username:{username} password:{password} grant_

我能够使用身份验证类型为服务主体的ADFv2连接连接到特定的Azure SQL数据库。但我正试图弄清楚如何使用SSM和服务主体连接到同一个Azure SQL DB。如果我只是尝试在SSMS登录屏幕（身份验证：SQL Server身份验证）中将服务主体ID用作“登录”，将其密码用作密码，那么它将不起作用。SSMS中没有选择服务主体身份验证的选项。是否有解决方法？您无法使用SSMS中的服务主体连接到Azure SQL数据库。正如您发现的，没有任何选项可以支持这一点 我发现了一个Azure支持博客，为

澄清：这是关于加入Azure Active Directory，但不是AAD下的目录服务 我有一个服务器2019 Azure VM-未加入任何AAD。订阅绑定到租户X。我想将此VM“Azure AD join”到属于租户Y的其他AAD。该场景使租户Y的用户能够使用其凭据登录到此VM 如果您对如何在同一租户中以脚本方式执行此操作有想法。这也是受欢迎的

我想向团队频道发送消息。 到目前为止，我已经能够成功地创建团队，在各种其他操作中创建用户，我生成的令牌工作正常。但是，将消息发送到通道仅适用于委托权限，发送消息的请求失败，错误代码401 login.microsoftonline.com/tenant_id/oauth2/v2.0/token是我使用默认作用域的终点，即graph.microsoft.com/.default，它只通知microsoft Identity platform应用程序权限，我如何修改POST请求以生成令牌来授予应用程

有谁能帮我解决这个问题吗，我被困在书堆里了，读书也没什么用：( 我的问题与Azure Active Directory组和SQL DW有关。我想授予Azure Active Directory组（添加组）的数据库读取权限。为此，我采取了以下步骤： 我在ADD asAzure AnalyticISDW Admin Users和Azure AnalyticISDW Database Users中创建了两个组，每个组都有一组用户 然后，我转到Azure门户，选择我的SQL DW并添加Azure An

TL；DR 当通常的交互方式（例如带有同意屏幕弹出窗口的web应用程序）不可行时，我如何将我的用户权限委托给Azure Ad中的服务负责人？这是因为我无法在Azure门户中正确配置MSI以使其以这种方式工作 更多细节 我想授予代表用户访问Graph API的应用程序权限。通常，这是一种场景，在该场景中，您创建应用注册，通过请求所需范围的权限来获取委派用户权限，然后在应用中使用这些权限 需要图形访问的应用程序是一种后台服务，可以在没有用户干预/活动的情况下自行运行。对于这个用例，常用的方法是使用应

我们有一个VisualStudio在线帐户，该帐户由Azure目录（从本地Active Directory同步）支持。出于各种原因，我将不深入讨论： 最初Azure目录与表单中的帐户同步”joebloggs@ourdomain.com“（即名称部分中没有点） VSO邀请是用用户地址的无点形式发送给用户的，几个月来我们一直很高兴地使用VSO 我们的基础设施团队现在希望使用虚线版本的目录名，所以“joe”。bloggs@ourdomain.com，在我们的Azure目录中 我正在试图找到一种方法

使用Microsoft Graph API，我需要能够更新属性proxyAddresses，作为配置过程的一部分，以便为最终用户启用自助密码管理 我从Graph API中看到这个属性是只读的，但8个月前MS还考虑将其设为RW。是否有人对此有任何看法，是否有人通过API找到了解决此问题的方法？目前v1.0或Beta版均不支持此功能，但这是针对此功能的开放式OverVoice请求： 如果您与更大的客户合作，通常您希望使用AD Connect工具从本地Active Directory同步他们的身份。在

我正试图效仿B2C身份认证的例子。当我遵循这个例子时，我能够成功地在B2C中创建一个用户。但是，当我与该用户一起登录时（例如，我转到https://account.activedirectory.windowsazure.com/r#/applications，则无法找到用户 我不确定我做错了什么。我可以在目录中看到我想要的标识（UPN生成为[GUID]@[B2C Store].onmicrosoft.com） 我做错了什么或误解了什么？根据链接，我应该能够做到以下几点： "signInName

我正试图使用获取用户的个人资料图片（理想情况下，如果没有背景，则使用不同颜色背景的备用首字母），但除了404状态和以下正文（令人烦恼的是，延迟5-20秒后），我无法让它响应任何内容： 我甚至试过使用，但效果相同。我已经上传了一张个人资料图片到我自己的帐户，但我仍然得到同样的结果 原因可能是什么？是否有其他方法获取Azure AD用户的配置文件图片？Microsoft Graph v1.0从Exchange Online而不是Azure Active Directory检索用户的配置文件图片。因此

在我授予Office 365 API对我注册的某个应用程序的访问权限后，我发现Azure Active Directory企业应用程序中附带了Office 365管理API 我想知道如果我在Azure Active Directory企业应用程序中删除Office 365管理API，我将面临什么影响 提前谢谢你 据我所知，如果删除Office 365管理API，您将无法再使用它，并且对已注册的应用程序没有影响。当您在应用程序注册下注册应用程序时，向其授予API权限，然后对这些权限执行许可…它会自

我正在尝试创建一个支持SSO的Outlook加载项，方法如下。我无法开始工作的一个步骤是使用此页面手动授予我的应用程序权限 在执行步骤1中的链接后，系统会提示我登录到Office帐户，但从未要求我授予权限。我最终被重定向到以下URL： 我的office帐户只是office 365个人帐户（而不是工作或学校帐户）。这就是我犯这个错误的原因吗？是否有其他方法可供我使用用户身份验证来开发此加载项？从URL中的错误消息看，SSO代码似乎正用于访问Azure Active Directory v2.0端

我无法向azure中的应用程序清单文件添加新角色。得到一些随机错误 “错误详细信息：找不到提供的客户端ID。[LLn0W]” 经过一些研究，我知道只有全局/目录管理员才能更新清单文件。我的问题是，为什么它只限于管理员？为什么不为应用程序所有者启用 经过一些研究，我知道只有全局/目录管理员 可以更新清单文件 如果您是应用程序的所有者，而不是Azure广告中的管理员，那么您也有权在清单中编辑许可。对于普通用户，而不是所有者或管理员，他们将没有足够的权限进行访问 我的问题是，为什么它只限于管理员？

我有一个单页web应用程序，需要与不同的服务进行对话。要与这些服务中的每一个进行通信，它需要一个单独的Oauth令牌。为了获得这些令牌，我将被迫要求用户单独登录以进行跨域呼叫。如何防止这种情况，以便用户只登录一次 编辑1：添加了说明否，您不需要让用户为每个令牌重新登录。一旦用户在第一个请求上登录，令牌颁发者将创建一个会话cookie，并使用该cookie在后续请求中建立用户的身份。如果您正在使用Azure AD，请使用msal.js库来简化您的编码。另外，在第一个令牌请求之后，它对所有令牌请求使

我有一个关于使用MSAL.JS 1.1.3将扩展声明添加到idToken的查询——它似乎在扩展属性被删除的情况下工作，但不是通过AAD Connect 我需要做些什么来确保令牌中包含AAD Connect synchronized extension属性？ 我有以下带有2个扩展属性的设置（扩展{id}CustomOptionalClarizationUserCode（添加在AAD中）和扩展{id}StuExtensionAtribute1（通过AAD连接从prem AD添加到AAD）： 客户想

我正在读“”。这里有一个词汇表，显示了一些基本术语，可以更好地理解Azure AD及其文档。其中之一是“单一租户”。根据该术语表，该术语的定义是“在专用环境中访问其他服务的Azure租户被视为单一租户”。请您通过一个示例帮助我理解该定义，好吗？具体来说，我想了解Azure Active Directory上下文中“专用环境中的其他服务”的示例 你需要更多地了解 对于“其他服务”，我们可以将其视为您的应用程序或API 单租户对应于多租户 对于单租户，这意味着此目录中的帐户只能使用您的应用程序或AP

我一直在查询riskDetection API，并通过“DetectedDateTime”进行分页过滤，以仅获取特定时间范围内的事件。今天早上，此API调用开始失败，仅针对我们的一个租户，并且仅针对riskDetection端点（IdentitySkeevents工作正常） 对于涉及le的查询，我得到以下错误： { "error": { "code": "UnknownError", "message": "", "innerError": { "requ

当我试图在PowerShell创建的应用程序注册中删除的附加配置时。。我发现了一种奇怪的行为 此命令az ad app update--id$app.appid--set oauth2AllowId令牌ImplicitFlow='false' 导致异常，即“在根目录上找不到az:Property'OAuth2AllowTokenImplicitFlow'。将其作为附加属性发送”。但是，它不会应用该值 是否没有记录在案的方法来自动化此设置？因为它可以通过门户和API发送（根据） 我希望它是权限授予

我们过去可以通过登录myaccess.microsoft.com让社交帐户请求访问包。现在，我们得到一个错误，说你不能用个人帐户登录。为什么会出现这种情况，因为在授权管理中仍然可以创建像gmail.com或outlook.com这样的域作为连接组织？ 此外，在登录myaccess门户并扩展用户已获准查看其资源的访问包后，它过去可以：，要直接从此视图中打开SharePoint网站或应用程序，只需单击资源或单击“立即打开”即可，因为该功能已被删除，因此我们必须向用户发送指向资源的链接。这大大降低了经

我已经在Azure AD（aad.portal.Azure.com）中注册了一个应用程序。 我想使用此应用注册进行身份验证，使用OpenIDConnect对几个具有不同主机名的Web应用进行身份验证。我可以在门户中配置几个重定向URI 当我在Visual Studio 2019中创建一个新项目并使用“添加连接的服务”向导时，它会要求我指定是创建一个新的Azure AD应用程序（我们的AAD管理员不允许使用此选项，但我无论如何都不想这样做），还是使用现有AAD应用程序中的设置。 问题在于，无论我

我们已经从NAM身份提供者转移到AzureAD。MS Edge_C使用企业模式站点列表强制应用程序采用IE模式 在新会话中，用户通过SAML从我们的应用程序重定向（GET）到login.microsoftonline.com。选择帐户后，将向公司身份验证服务发送另一个重定向，该服务将成功验证用户。SAML响应通过POST发送到应用程序 这就是它应该是什么样子，NAM也是这样（它直接对用户进行身份验证）。但是自从切换到AzureAD后，返回应用程序的最后一个帖子被破坏了。我们的应用程序收到一个没有