Azure active directory 遇到';服务不可用';合并Azure AD应用程序权限时的SharePoint图形查询永久
这种情况让我创造了一个真正可怕的工作环境,但有时,你没有选择的权利 当在Azure AD应用程序中设置了多个(特定的?)Azure AD应用程序权限时,问题基本上会遇到503:“serviceUnavailable”消息,这是不应该发生的 上下文和技术查询 上下文专门用于应用程序权限(仅应用程序授权)和非委托权限。令牌由以下人员检索:Azure active directory 遇到';服务不可用';合并Azure AD应用程序权限时的SharePoint图形查询永久,azure-active-directory,microsoft-graph-api,azure-ad-graph-api,Azure Active Directory,Microsoft Graph Api,Azure Ad Graph Api,这种情况让我创造了一个真正可怕的工作环境,但有时,你没有选择的权利 当在Azure AD应用程序中设置了多个(特定的?)Azure AD应用程序权限时,问题基本上会遇到503:“serviceUnavailable”消息,这是不应该发生的 上下文和技术查询 上下文专门用于应用程序权限(仅应用程序授权)和非委托权限。令牌由以下人员检索: HTTP POST https://login.microsoftonline.com/e6fcb01a-f706-4b1b-872b-1e7645d78491/
HTTP POST https://login.microsoftonline.com/e6fcb01a-f706-4b1b-872b-1e7645d78491/oauth2/v2.0/token
headers:
Content-Type=application/x-www-form-urlencoded
-------------
client_id=<App GUID>
client_secret=<App SECRET>
scope=https://graph.microsoft.com/.default
grant_type=client_credentials
HTTP GET https://graph.microsoft.com/v1.0/sites/root
headers: Authorization=Bearer <AccessToken>
-------------
httpposthttps://login.microsoftonline.com/e6fcb01a-f706-4b1b-872b-1e7645d78491/oauth2/v2.0/token
标题:
内容类型=应用程序/x-www-form-urlencoded
-------------
客户识别码=
客户机密=
范围=https://graph.microsoft.com/.default
授予\类型=客户端\凭据
/由以下人员检索的站点/根查询:
HTTP POST https://login.microsoftonline.com/e6fcb01a-f706-4b1b-872b-1e7645d78491/oauth2/v2.0/token
headers:
Content-Type=application/x-www-form-urlencoded
-------------
client_id=<App GUID>
client_secret=<App SECRET>
scope=https://graph.microsoft.com/.default
grant_type=client_credentials
HTTP GET https://graph.microsoft.com/v1.0/sites/root
headers: Authorization=Bearer <AccessToken>
-------------
httpgethttps://graph.microsoft.com/v1.0/sites/root
标题:授权=承载
-------------
再现这种情况:
- 创建Azure广告应用程序
- 添加应用程序权限>Sites.ReadWrite.All
- 授予管理员对
- 制造秘密
- 生成访问令牌(使用)
- 使用令牌运行查询(works)
- 添加应用程序权限>组。创建
- 授予管理员对
- 生成访问令牌
- 使用令牌运行查询(失败?)
- 添加应用程序权限>Group.ReadWrite.All
- 授予管理员对
- 生成访问令牌
- 使用令牌运行查询(失败?)
- 重复此操作以获得另一个权限。直到它破裂
- 永远失败
组。创建和组。选择
我不确定它们为什么会导致调用/sites/root
失败。但强烈建议从用于访问/sites/root
的Azure AD应用程序中删除这两个权限(可能还有其他一些权限)
同时,在Azure portal上为您的图形请求打开支持票证是一个不错的选择。不幸的是,这是SharePoint中以前已知的问题。修复正在进行中,但我没有可供分享的ETA。我测试了此功能,问题就在那里,但解决方法是您不需要组。如果您有组。ReadWrite.All
权限,请创建权限
总之,一个广告应用可以有Group.ReadWrite.All
和Sites.ReadWrite.All
权限,但如果一个广告应用拥有Group.Create
、Group.ReadWrite.All
和Sites.ReadWrite.All
三个权限,那么它就会失败,您可以将其作为答案接受(单击答案旁边的复选标记,将其从灰色切换为填充)。这可能对其他社区成员有益。非常感谢。