Azure active directory 使用OpenID Connect/Azure AD的移动设备的身份验证不适用于Microsoft Graph API_Azure Active Directory_Openid Connect_Adal_Microsoft Graph Api

Azure active directory 使用OpenID Connect/Azure AD的移动设备的身份验证不适用于Microsoft Graph API

azure-active-directory microsoft-graph-api

Azure active directory 使用OpenID Connect/Azure AD的移动设备的身份验证不适用于Microsoft Graph API,azure-active-directory,openid-connect,adal,microsoft-graph-api,Azure Active Directory,Openid Connect,Adal,Microsoft Graph Api,我有一个网站，它使用OpenID Connect authentication/ADAL通过Azure广告对用户进行身份验证。该应用程序还使用Microsoft Graph API从广告中检索用户数据自几个月前实施身份验证以来，它一直在各种设备上运行良好但几周前（确切地说，8月23日），来自移动设备的身份验证突然停止工作，尽管代码或（据我所知）公司的基础结构没有任何变化在ConfigureAuth方法的AuthorizationCodeReceived事件处理程序中，我以以下方式获得身份验

我有一个网站，它使用OpenID Connect authentication/ADAL通过Azure广告对用户进行身份验证。该应用程序还使用Microsoft Graph API从广告中检索用户数据

自几个月前实施身份验证以来，它一直在各种设备上运行良好

但几周前（确切地说，8月23日），来自移动设备的身份验证突然停止工作，尽管代码或（据我所知）公司的基础结构没有任何变化

在ConfigureAuth方法的AuthorizationCodeReceived事件处理程序中，我以以下方式获得身份验证结果：

var authenticationContext = new AuthenticationContext(settings.Authority);
var authenticationResult = authenticationContext.AcquireTokenByAuthorizationCode(context.Code, new Uri(settings.RedirectUri), new ClientCredential(settings.ClientId, settings.ClientSecret), resource);

其中resource是Microsoft Graph API URL

但是，自8月23日以来，AcquireTokenByAuthorizationCode抛出一个AdalServiceException，其中包含以下消息：

AADSTS50097:需要设备身份验证

例如，如果我在AcquireTokenByAuthorizationCode调用中忽略资源参数或将其更改为“”，则来自移动设备的身份验证就像一个符咒。但是我显然无法访问MS Graph API

有没有办法解决这个问题，这样我就可以访问MS Graph API并让用户使用移动设备登录？

Sriram的答案是正确的

公司管理员已为Exchange Online启用条件访问策略，该策略目前也适用于Microsoft Graph。我们知道，这会影响使用Microsoft Graph来处理邮件/日历以外的工件的应用程序，并且正在致力于将它们解耦。这一变化将在未来几个月内展开。如果可以放宽该政策，请与您的公司管理员联系。如果不可行，请联系我们的支持渠道，请求将Microsoft Graph排除在策略实施之外。

Sriram的回答是正确的

公司管理员已为Exchange Online启用条件访问策略，该策略目前也适用于Microsoft Graph。我们知道，这会影响使用Microsoft Graph来处理邮件/日历以外的工件的应用程序，并且正在致力于将它们解耦。这一变化将在未来几个月内展开。如果可以放宽该政策，请与您的公司管理员联系。如果不可行，请与我们的支持渠道联系，请求将Microsoft Graph排除在策略实施之外

您是否检查了您的客户端密码是否过期？客户端密码仍然有效。请共享完整的错误消息（其中应包含CorrelationId和时间戳）？以下是最近的一个示例：AADSTS50097：需要设备身份验证。跟踪ID:e35abf3d-5cda-4cc1-8253-6f46c974748f相关ID:7036f00c-26a7-4b29-aad1-f4f0acf5fd7f时间戳：2016-09-12 09:02:52Z公司管理员已为Exchange Online启用条件访问策略，该策略目前也适用于Microsoft Graph。我们知道，这会影响使用Microsoft Graph来处理邮件/日历以外的工件的应用程序，并且正在致力于将它们解耦。这一变化将在未来几个月内展开。如果可以放宽该政策，请与您的公司管理员联系。如果不可行，请与我们的支持渠道联系，请求将Microsoft Graph排除在策略实施之外。是否检查您的客户端密码是否过期？客户端密码仍然有效。请共享完整的错误消息（其中应包含CorrelationId和时间戳）？以下是最近的一个示例：AADSTS50097：需要设备身份验证。跟踪ID:e35abf3d-5cda-4cc1-8253-6f46c974748f相关ID:7036f00c-26a7-4b29-aad1-f4f0acf5fd7f时间戳：2016-09-12 09:02:52Z公司管理员已为Exchange Online启用条件访问策略，该策略目前也适用于Microsoft Graph。我们知道，这会影响使用Microsoft Graph来处理邮件/日历以外的工件的应用程序，并且正在致力于将它们解耦。这一变化将在未来几个月内展开。如果可以放宽该政策，请与您的公司管理员联系。如果不可行，请联系我们的支持渠道，请求将Microsoft Graph排除在策略实施之外。