Azure active directory 限制Microsoft Graph（或Azure AD Graph）的读取权限

关于这里提出的问题

是的，我可以使用图形查询获得完整的用户配置文件数据，但从租户的角度来看，我是否可以限制图形查询只能访问基本配置文件数据

Azure AD graph已为user.readBasic.all授予权限，这限制了此操作。我们有一个访问Azure目录的第三方应用程序来检索基本数据，以便在其用户目录中设置帐户，由于存在安全风险，我们需要将此限制为基本数据。我们不能指望第三方总是做正确的事情

---

因此，我需要一种方法来设置应用程序以允许user.readBasic.all.的应用程序权限（由于读取每4小时发生一次，没有人为参与），如果要限制“user.readBasic.all”返回的字段，最好的方法是实现自定义处理程序（API/服务等）。现在没有直接的官方渠道可以这样做。（user.readBasic允许应用程序读取已登录用户的完整配置文件，因为用户登录后，这意味着他已授权应用程序获取其信息。）

您可以在此处查看博客的图形权限：

---

有关“user.readBasic.all”的详细信息，请参阅您从官方链接（）中指出的“user.readBasic.all”，它允许应用程序代表登录用户读取组织中其他用户的基本配置文件属性集。这包括显示名、名字和姓氏、电子邮件地址、开放扩展名和照片。还允许应用程序读取已登录用户的完整配置文件。

如果您不希望第三个应用程序从您的aad读取完整配置文件，则不应授予他们对您的aad的权限。为他们定制api应该是考虑安全风险的最佳选择。我不需要限制用户返回。readBasic.all，我希望此权限作为应用程序权限可用。目前我只能使用Directory.Read.all，它太开放了。因为您需要的不是当前api的int，所以我认为您可以在UserVoice中提交请求：如果您仍然希望在azure门户中设置“未委派”的“读取所有用户的基本配置文件”，我们现在无法执行此操作。“阅读所有用户的基本配置文件”不是默认的应用权限。谢谢。我已经提交了一个请求。