Azure active directory 为什么某些Microsoft Graph作用域对某些租户请求管理员同意，而对另一个租户仅请求用户委派的权限？_Azure Active Directory_Microsoft Graph Api

Azure active directory 为什么某些Microsoft Graph作用域对某些租户请求管理员同意，而对另一个租户仅请求用户委派的权限？

azure-active-directory microsoft-graph-api

Azure active directory 为什么某些Microsoft Graph作用域对某些租户请求管理员同意，而对另一个租户仅请求用户委派的权限？,azure-active-directory,microsoft-graph-api,Azure Active Directory,Microsoft Graph Api,我的应用程序是多租户的，并在AAD中注册，以访问具有sites.ReadWrite.All用户授权权限/范围的站点在一些租户中，OAuth令牌获取在获得用户同意的情况下非常有效，正如预期的那样，但对于其他租户，如Microsoft公司租户，则需要管理员同意这是没有记录的行为吗？管理员是否可以在作用域上添加明确的同意要求在我的租户上工作，但在使用常规microsoft用户帐户的microsoft.com租户上不工作。Azure AD中有一个禁用用户同意的设置需要管理员同意的组织很可能已经这

我的应用程序是多租户的，并在AAD中注册，以访问具有

sites.ReadWrite.All

用户授权权限/范围的站点

在一些租户中，OAuth令牌获取在获得用户同意的情况下非常有效，正如预期的那样，但对于其他租户，如Microsoft公司租户，则需要管理员同意

这是没有记录的行为吗？管理员是否可以在作用域上添加明确的同意要求

在我的租户上工作，但在使用常规microsoft用户帐户的

microsoft.com

租户上不工作。

Azure AD中有一个禁用用户同意的设置

需要管理员同意的组织很可能已经这样做了。因此，需要用户同意的范围通常变成只有管理员才能同意的范围

这里就是这个：

感谢您的反馈，我将与组织管理员核实！虽然您是对的，但OP提到的Microsoft租户有些独特。我们正在测试一些额外的配置选项，允许管理员指定哪些范围可以得到用户的同意（即允许

User.Read

，但需要

User.ReadWrite

的管理员同意）。顺便说一句，我不相信这是公开的（即使在预览中）。Hello@Marc，你能解决你的问题吗？我有——我想——同样的问题。我的Azure广告应用程序似乎需要我的试用版Office 365租户的管理员同意。MailboxSettings.Read（Write）（非管理员权限）似乎是麻烦制造者。但我的应用程序在我的个人Microsoft帐户上运行。奇怪的是，MS Graph Explorer成功地请求了MailboxSettings。请阅读我的试用版Office 365。打破我的头上这个魔术…管理员同意似乎需要更多的邮件相关的权限。例如，Mail.Read还需要管理员同意，而Calendar.Read则有效…如果您使用的是客户端凭据（即应用程序而不是委托），则每个作用域都需要管理员同意。这是必需的，因为只有应用程序的权限是非常广泛的。我知道这一点，这是包括在内的。我似乎面临着“基于风险的逐步同意”。我必须触发一些动作，并将我的应用程序（仍在开发中）标记为“有风险”。其影响是始终需要管理员的同意。我正在与MS支持部门联系，以找出这是什么原因造成的。只是一些文档和一篇博文上的小文章，所以我花了一些时间才弄明白。（）一旦确认，我就把它作为一个可能的答案发布。