我正在使用Azure函数订阅Microsoft Graph notifications API，以便在租户上进行组更新。没有任何身份验证，我可以订阅并获得通知。但在启用AAD身份验证并发送订阅请求时，Graph notificationUrl validation POST调用从函数获得401响应，因此订阅请求失败。是否有一种配置方式，使得Graph始终发送承载令牌或任何其他替代方案来通过身份验证？目的是避免保留任何未经验证/允许匿名访问通知URL 他们要求通知url必须未经验证即可访问。这样，

我可以使用Azure AD B2C注册和登录网页的自定义URL用于web和本机应用程序吗？我不希望它重定向到Azure广告B2C提供的URL 它当前不可用。此功能仍在路线图上 请参阅此处的详细信息：Azure AD B2C:。如果，我们如何在应用程序中以编程方式将用户从应用程序注册/登录到Azure AD？

我已经与Azure B2C合作了几天，现在有一些问题： 它为登录重定向而创建的Url格式不正确。它包含两个问号-在url之后，在配置文件名称之后。这会导致每次登录、注销等时出现404 not found错误。例如，登录时它尝试重定向到的URL如下所示：。您会注意到配置文件名称后的第二个问号，这就是打破它的原因 如果我修复并尝试登录，它将无法识别我的全局管理员帐户的用户名/密码。它可以识别我在目录中本地创建的新用户的用户名/密码 在OnRedirectToIdentityProvider方法中，当

我如何使用AAD Graph API来确定是否允许租户接受来宾邀请？具体而言，我正在寻找有关如何实现此处列出的设置的信息：。AFAIK，Azure AD Graph和Microsoft Graph目前都不支持此功能。如果将来需要此功能，可以提交或的反馈。我直接与AAD团队确认，没有公共API可获取此数据。

我目前正在使用Microsoft LIVE 2.0 API开发一个应用程序 目前，我使用这些URL作为身份验证端点： https://login.microsoftonline.com/common/oauth2/v2.0/authorize https://login.microsoftonline.com/common/oauth2/v2.0/token 但是，当我将请求发送到令牌端点时，重定向URL为 https://blabla.com/accept_token.php?api_ver

现在，我们有了一个会议室预订网络系统。 当会议室预定离开时， 会议室参与者可以取消会议。 但由于会议室的参与者没有取消权限。 我们无法将会议室管理用户信息发布给所有用户。 因此，我们需要获取access_令牌以取消服务器上的会议，并使用会议管理器帐户和密码。 请告诉我如何从web服务器获取访问令牌，使用会议经理帐户和密码。关于如何获取SharePoint online/O365的访问令牌，我们可以参考以下文章： 虽然OAuth 2.0中有一个ROPC流，但我不建议您使用此流。您通常不需要存储密码

我正在使用OpenIdConnect与Azure AD进行身份验证。该应用程序托管在IIS上。几天前我收到了以下例外情况： IDX1083：无法创建以从以下位置获取配置：“” 堆栈跟踪是：在Microsoft.IdentityModel.Protocols.ConfigurationManager`1.d_u3.MoveNext（）中 30到40分钟后，应用程序自动开始正常工作。我只想知道上述异常的可能原因。这是网络问题还是具体原因。谢谢。好吧，因为错误显示无法从以下位置获取配置：https:/

我在两个域之间有双向信任，例如ABC和contoso域。ABC域用户可以读取和写入contoso域用户，但contoso域用户只能读取ABC域用户。如何实现这一点？无论集团政策如何，您都需要在ADUC中设置权限。并且contoso域的用户必须是域管理员组、帐户操作员组或管理员组的成员。或者，您可以授权用户创建/修改/删除

我想在安装后通过Microsoft Graph API访问添加？我有Windows10专业版。足够吗？它需要是Windows server 资料来源：

在Azure AD B2C web门户中，有一个页面列出所有登录活动。是否有图形API以编程方式获取此数据 我发现了以下文档，其中列出了如何通过报告API获取审核日志： 它使用以下端点： https://graph.windows.net/<tenant>/activities/audit?api-version=beta 但是，它返回所有记录的事件，而不仅仅是登录。我找不到一份关于这个端点的文档 我发现以下文档显示了如何检索登录日志，但它似乎不适用于AD B2C： 您似乎正在

有没有办法通过API编程将清单属性“accessTokenAcceptedVersion”设置为2？由于问题已解释，这是必需的-我们的代码需要新的STS，失败原因如下： WWW-Authenticate:Bearer error=“无效的令牌”，error\u description=“ “观众无效” 由于是旧sts：“iss”：。同样，我们也希望设置“signInAudience”属性，以便让我们的应用程序在B2C中显示： { ... "accessTokenAcceptedVersion":

我正在尝试调用应用注册清单中AcceptMappedClaimes=true的Azure广告保护Web Api。我正在使用机密客户端应用程序从控制台应用程序呼叫。下面是错误消息 Microsoft.Identity.Client.MsalServiceException:“AADSTS501461:AcceptMappedClaims仅支持与应用程序GUID匹配的令牌访问群体或租户验证域内的访问群体。更改资源标识符，或使用特定于应用程序的签名密钥。如果您计划使用未经验证的基于域的标识符，则会出现

我正在尝试删除特定对象id的分配。下面是我得到的错误。 我正在AD中附加我的服务主体访问级别 当我试图使用devops pipline执行相同的命令时，我得到了不同的错误 要删除访问权限，我的服务prinicpal在API权限中需要什么权限 只有阅读才能工作？还有为什么我会犯错误。任何建议 我可以重现您的问题，命令Remove azroleasignment将调用验证您传递的$objectid，因此您需要为应用程序授予目录.Read.AllAzure AD Graph（非Microsoft

我已经在Azure AD企业应用程序中使用SSO和自动资源调配设置了Zoom和DocuSign。确保角色正确映射后，即时资源调配按预期工作。但是，自动资源调配仅在首次运行时显示为添加用户。如果添加应用程序用户、更改用户的应用程序角色或从应用程序中删除该用户，则下次配置运行时不会发生任何情况。我希望添加用户，在Zoom或DocuSign时更新用户权限，或者禁用用户 文档似乎表明更新和删除应该通过资源调配来处理。我错过了什么 第二个问题是是否可以更改资源调配作业运行频率的计时。当我必须在测试之间等待

我正在使用Microsoft Azure AD应用程序令牌调用Power BI生成令牌API。在这里我总是得到403禁止的错误。我已授予Azure AD应用程序的所有权限，但仍出现错误 下面是我在Azure AD登录时生成的令牌 Eyjjjjjjkvczczczzczw5NtVpksueilcjhbgzczczczizizijjjjjjjkvczczczczcziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziz

我正在开发Azure广告B2C自定义策略。由于某些需求，我需要在编辑概要文件过程中获取用户对象ID的值，以调用一些第三方API。但是，我不能让这个值显示在编辑配置文件上，即使我在AAD中添加了对象id作为OutputClaims的成员，在Base.xml中添加了UserReadUsingEmailAddress。 所以我的问题是，是否有可能在编辑配置文件页面上显示用户的对象id值？如果没有，是否有此要求的解决方法 提前感谢。编辑配置文件页面仅显示用户可编辑的属性。对象ID是用户无法编辑的属性，因

我想听听你对以下几点的看法： 我能够通过Azure门户更新所需的参数用户分配 我能够使用模块AzureAD和cmdlet Set-AzureADServicePrincipal通过Powershell更新所需的参数用户分配 我想使用模块Az（而不是AzureAD）通过Powershell更新所需的参数用户分配 你知道它是否存在一个类似Set-AzADServicePrincipal和Set-AzureADServicePrincipal的等价物吗？我尝试更新AzADServicePrinc

目前，我正在尝试从使用服务主体登录的GitHub操作读取Active Directory组的ObjectId 服务主体是具有以下附加权限的参与者： "Microsoft.Authorization/roleAssignments/write", "Microsoft.Authorization/roleAssignments/read" Directory.Read.All (Granted) Group.Read.All (Granted) 使用Az

我正在尝试在我的客户端（ReactJS）、Express+Node.js服务器（API）和Microsoft Graph之间实现“代表”流 到目前为止，我已经从microsoft（客户端）请求了accessToken，并向我的API发出了请求 当我尝试从API向https://login.microsoftonline.com/tenantID/oauth2/v2.0/token 完全错误： { 错误：“无效的_请求”， 错误描述：“AADSTS5002710:无效的JWT令牌：标头格式不正确。

我正在尝试将EasyAuth（aad）与SPA结合使用，SPA目前位于“localhost:8080”上，Azure函数托管在Azure（{Function app}）中.azurewebsites.net。目的是让SPA调用Azure函数上的安全端点。因此，我将Azure函数注册为AD中的应用程序，SPA中的身份验证重定向到Azure函数EasyAuth端点似乎正在工作，但通过登录后重定向\u url重定向回本地主机SPA不可用 我添加了http://localhost:8080将AAD注册的

我需要自动化从gallery（即Trello）添加应用程序、配置应用程序（即密码单点登录）以及为其分配用户的过程 这可以通过图形API完成吗？是。 通过在对应于Trello应用程序的目录中创建servicePrincipal，可以自动将Trello添加到Azure AD目录。默认的SSO设置是密码SSO。您还可以使用graph API分配用户（和组）。但是，分配的用户需要配置他们将在应用程序中手动使用的密码 将Trello添加到目录（创建servicePrincipal）： appId是Tre

我在应用程序注册门户（）中发现了一个恼人的小错误： 每当我更新一些东西（比如重定向URI）时，隐私URL的值就会消失 复制步骤： 创建应用程序 输入隐私URL 拯救 更改重定向URI 拯救 隐私URL现在不存在 这是已知的bug吗？你能帮我修一下吗。谢谢！调查一下，谢谢！调查一下。

我正试图理解，当使用不同的Microsoft Graph REST端点和针对Azure 1.0 oauth端点（隐式流）获得的访问令牌时，预期会失败的是什么（如果有）。例如，我在Azure AD tenant中创建了一个新的应用程序注册，添加了Microsoft Graph服务，并选择了所有可用的权限-总共66个。我发现可以使用从端点获得的访问令牌对REST端点执行基本目录查询。但是，其他东西（如“我”或OneNote REST端点）会因401未经授权的错误而失败。作为旁注-我可以让所有这些场景

需要一些关于Azure AD的UI流是否可以自定义的指导，以便我们可以在身份验证之前基于UPN和Tenantid进行某种级别的授权 在我的应用程序的当前状态下，当它第一次启动时，会发生身份验证，然后是同意。身份验证流程完成后，应用程序将检查租户是否有资格获得访问权限（已授权），然后应用程序继续 当前流：身份验证>用户同意 请求的流：检查租户ID>验证访问>身份验证>用户同意 需要能够控制此流量，以便我们可以在验证之前验证用户的电子邮件地址，以确保用户可以访问应用程序。如果UPN未经授权，则基本上

免责声明：我对这一切都很陌生，所以请耐心点。：） 我的目标是创建一个目录架构扩展，目标是O365公司目录的用户资源。扩展非常简单，只有3个字符串字段。其思想是，目录中的每个用户都应该将此扩展应用于其用户对象，并为其包含的3个字段指定特定值 为此，我使用了Graph Explorer，其中我使用我的管理员租户帐户创建了一个简单的（域验证的）目录模式扩展（domain_schemaname），它有3个字段，目标是用户资源 我可以使用/v1.0/schemaExtensions确认目录架构扩展是在状态

我在我们组织的“xxx.onmicrosoft.com”Azure Active Directory中创建了一个“Web app/API”应用程序。应用程序的“多租户”属性已设置为“是” 我们将OpenID Connect（我们使用）配置为使用以下URL： 请注意，我们在URL中使用了“common”，而没有使用“xxx.onmicrosoft.com”，因为我们希望“xxx.onmicrosoft.com”之外的人能够验证和访问我们的应用程序 通过这些设置，来自xxx.onmicros

如果我在Aure AD B2C中有一个用户是基于Azure AD（企业）标识创建的（如下所述：），那么AADB2C中是否有一个属性允许我在AAD中查找（使用图形API或类似的）用户对象？我看到在AADB2C属性中有userPrincipalName和issuerUserId，但我不清楚这两个属性是否匹配存储在AAD中的任何值 谢谢 Martin对于外部帐户，外部发行人（即Azure AD）和外部用户标识符（即Azure AD用户的对象标识符）写入Azure AD B2C目录中用户对象的“User

我们有一个定制的Azure AD B2C登录/注册策略（基于SAML，默认策略不满足我们的需要） 我们可以通过以下内容定义按预期定制页面UI： https://example.com/SAMLSignIn.html ~/common/default\u page\u error.html urn:com:microsoft:aad:b2c:elements:selfasserted:1.1.0 本地帐户登录页面 但试图通过以下方式自定义错误页面： https://example.com/S

我正在尝试使用SAML2.0协议在带有Azure AD的移动本机设备中实现SSO。从网络上我可以成功登录，但我找不到一种方法来做同样使用移动客户端。我尝试使用微软Azure提供的Android项目。我能够通过这个项目获得代币。但我不明白下一步需要做什么。我们以前的请求是这样的（没有Azure）： . 对该请求的调用用于向我提供一个SAMLResponse，我在重定向URL中使用了它，作为回报，它用于向我提供用户配置文件的详细信息。现在，由于Azure中的机制完全不同，我不明白在收到访问令牌后应该

我正在开发一个具有angular 6前端和.net core 2.0后端的应用程序，并尝试对其进行设置，以便我的应用程序通过Azure active directory对用户进行身份验证。问题是，当我让前端传递电子邮件和密码时，我希望.net核心后端以编程方式执行所有身份验证。到目前为止，我在网上看到的所有内容都建议将前端重定向到Microsoft登录页面，但我们将应用程序用作锅炉板项目，希望能够在后端轻松更改身份验证类型，而无需更改前端。有人知道我该怎么做吗？您可以使用。该过程类似于您在Ang

我已经创建了一个逻辑应用程序，并针对我连接的特定租户启用了“标识”（我只有一个），该应用程序为我提供了一个对象id。现在我转到Azure Active Directory（同一租户），并在“企业应用程序”中尝试搜索该id，但没有结果。另外，搜索框中的提示特别要求输入应用程序名称或应用程序id——它没有说明任何关于“对象id”的内容。我创建的逻辑应用程序没有显示任何与之关联的“应用程序id”。那么，如何确保逻辑应用程序显示在AAD中？将企业应用程序中的过滤器更改为“所有应用程序”，然后使用您的逻辑

我一直在尝试使用Microsoft Graph API访问我帐户的MFA信息。此信息包含在API的测试版中，位于https://graph.microsoft.com/beta/reports/credentialUserRegistrationDetails。虽然我可以毫无疑问地得到这个结果，但似乎没有结果，因为回答是： {'@odata.context': 'https://graph.microsoft.com/beta/$metadata#reports/credentialUserRe

我还没有启动任何脚本，但希望首先检查是否可以使用PowerShell配置Azure AD非gallery企业应用程序，该应用程序允许我输入元数据，如实体id、回复URL、登录URL和属性信息 我需要一个开始的建议，如果你能提供一些信息的话？对于powershell，这目前是不可能的。 5月，Microsoft将ServicePrincipals端点添加到1.0 graph api中，用于（企业应用程序）。因此，使用GraphAPI，您可能能够完成它。我知道直到最近这仍然是不可能的，但是今天检查u

我在AAD中创建了许多新用户，但这只是为了访问Power BI。我不希望他们能够使用Outlook、Sharepoint或任何其他资源/应用程序 有没有办法在AAD中进行配置？理想情况下，使用组设置使其适用于组中的所有用户。创建组，将用户添加到组中 将O365订阅分配给组时，仅选择Power BI license 不要向他们分配其他许可证。除了Power BI，他们不能使用其他资源 您还可以逐个分配Power BI许可证

我正在编写一个带有角度前端的.Net核心应用程序 现在用户通过Azure Active Directory进行身份验证，该目录通过Azure门户进行配置。 用户已经成功地通过了身份验证，但作为一名开发人员，我现在还不知道哪个用户已经通过了身份验证 有很多关于如何检索用户信息的Exmaple，这是通过 . 但当我打这个电话时，我得到了一个未经授权的回复。所以一定有办法得到代币之类的东西 我拥有客户端ID、租户ID以及AppServiceAuthSession Cookie。有人能提供代码示例吗？根

我正在对Startup.cs中的Graph API进行身份验证： app.UseOpenIdConnectAuthentication( new OpenIdConnectAuthenticationOptions { ClientId = appId, Authority = "https://login.microsoftonlin

我正在尝试使用作用域“User.ReadWrite”更新“BusinessPhone”的值，但收到错误消息“权限不足，无法完成操作”。 不过，我可以更新手机的价值。 我正在使用Microsoft Graph。我可以重现您的场景，似乎User.ReadWrite权限不足以更新BusinessPhone属性。您可以添加目录.AccessAsUser.All权限，该权限在测试后生效： Directory.AccessAsUser.All需要管理员同意，您可以使用管理员帐户登录，然后单击授予权限按钮，

我想使用ADID/SAMAccountName/UPN从控制台应用程序中查找人员姓名和电子邮件地址，该应用程序使用其自己的凭据运行，而不是在我的帐户下运行 我将如何使用Microsoft Graph执行此操作 我正在跟进，但似乎需要管理员访问。（顺便问一下，有没有一种简单的方法可以在我公司的图表上找出管理员？） 我确实查找了LDAP查询，但域限制限制了搜索范围，我更愿意通过Microsoft Graph执行此操作。访问Microsoft Graph（即使用OAUTH客户端凭据流）需要您的应用程序

我在Azure门户的应用程序注册刀片中创建了一个Azure广告应用程序。该应用程序已被授予访问Web API（实际上是Azure AD B2C应用程序）的权限。我正在尝试使用客户端凭据（客户端id、客户端机密和资源）从Azure AD获取令牌。在我的开发实例中，Azure AD将返回我的Azure AD V1令牌，但我的测试实例Azure AD将返回我的Azure AD V2令牌 我在两个实例中使用相同的主体输入（grant_类型、client_id、client_secret和resource

是否可以使用应用程序查询Microsoft Graph API，以收集登录/注销、用户创建/删除、组成员身份更改等事件的审核日志信息。？我一直在浏览GraphAPI参考资料，但对我来说似乎并不直接 或者我们应该继续使用Azure AD Graph API吗？我们正在尝试从Office 365 AAD和Azure政府AAD获取数据。我们已经在从Office 365管理API中提取数据，该API具有Active Directory提要，但不确定是否包含我们正在查找的所有内容。您可以使用Microso

无法获取访问令牌，授予类型：密码 网址： 有人能找出哪里出了问题吗。 用户名和密码正确。建议您尝试以下方法： 网址： 请求机构： client_id=<client_id>& scope=https://graph.microsot.com/Mail.Read openid User.Read& grant_type=password& username=<email_id>& client_secret=<client_secret

我们已经使用Microsoft Graph端点一段时间了，以获取所属组的列表 今天，如果调用此端点而不发送筛选器参数（例如，$select=id eq'GroupId'），我们会突然遇到以下错误 这对于我们获取所属组的列表非常有效，但是如果不对我们的组进行排序，我们将不得不重新编写如何获取所属组的列表。你知道为什么今天会发生这种事吗 从我们可以看出，这只会影响某些用户 关于权限，我们仅使用User.Read.All { "error": { "code": "Authorizatio

我们已在委托和应用程序中获得管理员同意ServiceHealth.Read在Azure AD中我们的客户端应用程序的Office 365管理API中的权限 如果我们想调用office365管理api，我们无法确定令牌获取过程中需要哪些范围和/或资源 是否为直接令牌获取的客户端\u凭证授权方法 或授权码然后是登录用户方法的令牌 如果它用于client\u凭证grant方法，则更好，但如果必须通过auth代码，也可以 我们已经可以使用以下内容获取报告，但不知道如何允许该身份验证也涵盖Office36

实际上，我们使用GRAPH API从Jira脚本访问active directory用户和组。 为此，在Azure AD上注册应用程序后，我们使用所谓的“无用户身份验证”，即使用密钥和客户端密钥 我们理解以下几点 在向Graph API发送任何POST请求之前，我们需要获得一个有效的令牌 令牌值与就地权限相关联 如果更改权限，则需要获取一个新的令牌以包含更改 我们的问题如下： 首先，你能确认我们上面所说的是正确的吗 这是否意味着在每次请求之前，我们需要每次请求令牌以确保其有效 每个请求发送的令牌

快速解释： 我们希望将新来宾添加到尽可能精简的Microsoft团队中。通过Powershell将来宾添加到M365组似乎可行，并且来宾会出现在团队成员中，但发送给来宾的URL不会将其加入团队频道。他们会得到一个空的团队仪表板（没有频道）或“您需要访问此团队或频道的权限”，具体取决于URL。从团队中删除来宾，然后通过团队管理门户重新添加他们，效果很好 重新创建的步骤： 有一个团队已经建立并开始工作，例如“MSTeamTest” 在c:\temp中创建一个名为investments.CSV的CSV

我有一个服务结构群集，它运行的服务（无状态ASP.Net核心）不能暴露于Internet。对服务的请求通过API管理路由 Incoming request ==> https://blah.trafficmanager.net/routeName forwarded ==> https://10.0.4.6:[port]/routeName 这在没有身份验证的情况下可以正常工作。我正在连接AAD auth，因为我们需要将其锁定到客户端注册（由于时间框提升请求要求）。我已将服务设置为

是否可以使用以下图形API客户端在Azure AD中创建嵌套组： 您可以使用附加数据在C#中创建组的步骤中添加成员 创建具有所有者和成员的安全组 明确规定。请注意，最多有20个关系，例如所有者和 成员，可以作为组创建的一部分添加 IConfidentialClientApplication-secretentialclientapplication=secretentialclientapplicationbuilder .Create（clientId） .WithTenantId（tenan

目前，可以使用以下REST API获取组（或工作区）的用户（Active Directory）： 在我们的项目中，我们有一个特定的需求，需要访问有权访问报表的用户和组（Active Directory） 有没有一种方法可以使用Power BI REST API实现这一点 概览页面及其下方的菜单点似乎不支持此操作：

我有一个名为nsg properties.json的文件，如下所示： { "securityRules": [ <twenty NSG rules are here> ] } { “安全规则”：[ ] } 我有一个服务主体，只有一个角色分配，它是范围/subscriptions/$SUBSCRIPTION\u ID/resourceGroups/$VNET\u RESOURCE\u GROUP/providers/Microso

我正在尝试将AWS Cognito与用户池一起使用，使用Azure AD作为身份提供者（OpenID Connect） 我在Cognito中设置了用户池，并指定了测试应用程序的回调URL(https://localhost:44381)我在Azure AD中配置了一个应用注册，该应用注册在重定向URI中具有相同的URL 在AWS控制台的“应用程序客户端设置”下，我单击“启动托管UI”对其进行测试。它显示一个页面，允许我选择配置的身份提供程序（Azure AD）。在该页面上，我可以在URL中看到它