用户故事：匿名用户应该能够创建调查，从outlook中粘贴调查参与者的电子邮件，这些参与者将成为广告中的有效用户，他们的电子邮件作为主要搜索键作为广告中的扩展属性。用户将收到邮件，并被通知调查已准备就绪……等等 由于Azure电子邮件属性只能读取，因此我只能将用户邮件添加为扩展属性。当添加扩展属性如“SkeypID”、“Email”时，是否也可以使用搜索功能 例如DirectoryService.users.Where（it=>it.myproperty！=null&&it.myproperty

我正在写一个C#NET应用程序。它连接到Azure上的服务，该服务配置为使用AAD。反过来，我们的服务尝试通过EWS呼叫Exchange 这一切对我来说都很好，直到我们最近将我们的服务位部署到一个新的Azure web应用程序，并注册了新的应用程序。它们都配置正确，我们团队中的其他开发人员可以使用该服务进行身份验证，并按预期使用它 当我尝试连接到该服务时，出现以下错误： AADSTS65001:用户或管理员未同意使用ID为“61a8b794-7f67-4a01-9094-fcdd45693eaa

有人知道新门户中是否禁用了AAD菜单选项吗？直到上周，我才能够管理其中的所有内容，但现在这些选项已被禁用。如果我切换到经典门户，一切正常。 我发现了一个类似的问题（），但在这种情况下，这家伙似乎能够单击菜单选项。 我尝试使用邮件gmail帐户和域帐户，两者都具有全局管理员角色 [编辑] 注意到这个问题只发生在常规模式下的Chorme中。在Chrome anonymous中，Edge和IE工作正常 [编辑2] 问题解决：已清理所有chrome缓存否，未禁用任何内容，可能是租户错误、帐户错误，或者您

我正在尝试从Azure AD管理的用户帐户检索以下信息 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; using System.DirectoryServices.AccountManagement; namespace UserName_API_functionCall { class Program

我正在使用passport azure广告库对进入我们应用程序的用户进行身份验证。我们正在使用v2.0端点。我在Microsoft应用程序注册门户中创建了多个应用程序。还有很多重定向url，因为我们有很多不同的环境应用程序。它是在我的Microsoft员工帐户下注册的。现在我需要把所有权转让给另一个开发者。我怎么做？我需要在其他帐户中重新创建所有这些应用吗？我假设这将创建一个新的应用程序id，因此将再次请求所有用户的权限。有没有办法转移所有权而不再重新创建所有应用程序？假设您使用Azure Ac

我正在创建一个使用组织许可证销售的附加模块 我已经在外接程序上实现了身份验证方案。我目前正在请求用户。请阅读范围以确保使用Azure v2端点进行身份验证。要获取用户的信息，我正在查询 https://graph.microsoft.com/v1.0/me 为了正确测试用户的许可证，我需要提取用户组织的标识。然而，我从Grah请求中收到的用户信息是越来越少的。对于AAD帐户，架构如下所示： { "@odata.context": "https://graph.microsoft.com/v

如何通过控制台应用程序将Azure广告组添加到SharePoint Online网站集管理员。我的示例测试代码，您可以尝试。TestSecurityGroup是Azure AD安全组 Web web = clientContext.Web; var SPGroup = web.SiteGroups.GetById(7); User group = clientContext.Web.EnsureUser("TestSecurityG

我正试图规划最佳方式，以实现以下发展： 组成部分： SPA客户机：与以下人员进行通信： 基于API的服务器：由同一组织开发 SPA和服务器都是第三方API的客户端，例如： AAD图形API 在上述情况下，以下各项是否正确： SPA使用OIDC隐式流登录到AAD，并返回两个令牌：token+id\u token SPA将这两个令牌保存在独立的存储中 SPA与后端服务器的API通信。 在授权标头中将令牌作为承载令牌传递 Q:在OAuth 2.0框架中，访问令牌不应在私人客户端之外共享，

如Power BI文档中所述， “具有PRO许可证的嵌入令牌用于开发测试，因此Power BI主帐户或服务主体可以生成的嵌入令牌数量是有限的” 资料来源： 所以我的问题是… 若开发人员需要更多的免费代币在开发环境中测试应用程序，他能否更改主帐户以获得更多的免费代币？嵌入令牌是特定于应用程序还是特定于用户 如有任何意见，我们将不胜感激。 我是PowerBI Embedded的新手。您有两个选择：如果达到限制，您可以切换到另一个帐户（主服务帐户），但您将承担另一个PowerBI Pro许可证的费用。

是否有任何方法可以通过azure CLI或azure PowerShell更改azure AD应用程序中的属性oauth2AllowIdTokenImplicitFlow？您可以使用AzureAD PowerShell模块（）： 您需要应用注册的objectId。内置Powershell或CLI当前不支持设置oauth2AllowIdTokenImplicitFlow。此外，似乎该属性只能在广告应用程序的清单中找到，我在任何文档中都找不到它（包括MS Graph或Azure广告图） 但是根据我的

我正在为我们的网站应用程序设计注册页面。 由于注册页面在页面设计方面相当复杂，我们决定不使用Azure B2C用户流，而是设计我们自己的页面并向API发送注册请求，API将使用Graph API注册用户（除其他外） 问题是，我们希望在注册后立即进行自动登录（即，我们不希望在用户注册后提示登录页面，我们希望将他直接重定向到我们的网站） 我可以使用ROPC流为web应用程序颁发刷新令牌。问题是web应用程序现在使用的是MSAL.js库，它只支持隐式流，因此我们不能使用刷新令牌，除非我们重新设计web

承租人必须拥有Microsoft Office 365，这是强制性的吗？我们是否可以使用Azure Connect将本地Active Directory同步到Azure AD，并使用AD凭据登录到Microsoft团队？团队的完整版本需要office 365许可证。因为这是一款office 365产品。 没有包含团队的office 365许可证。无论广告帐户如何，您都无法使用完整版本的团队。 来回答你的问题。是，必须拥有o365/teams许可证才能使用团队 但是，您可以使用团队的免费版本，如果

我需要从Microsoft团队中的团队中获取成员和所有者的列表。到目前为止，我一直在使用带有Graph API的GET/groups/{id}/owners方法来实现它。但要使用它，它需要Group.Read.All权限，这需要管理员同意。 是否有其他方法可以获得不需要使用管理员权限的团队所有者？否。无论您使用的是哪种类型的权限（应用程序权限或委托权限），Group.Read。所有这些都是必需的 应用程序权限和委托权限都需要管理员同意。没有其他方法可以绕过管理员同意 请参阅中的详细信息 否。无论

我想将服务主体添加到Azure Keyvault访问策略 我试着用下面的命令 Set-AzKeyVaultAccessPolicy -VaultName 'kvevalmock' -ObjectId '23erer-ed58-4ead-w34d-1ete23w3yofa' -PermissionsToSecrets @("get","list","set","delete","backup",&q

现在我正在开发Office 365 outlook加载项，我需要在Office 365加载项中调用WebAPI，并且WebAPI受AAD保护。要询问，如何从Office 365加载项获取AAD令牌，并可在浏览器和outlook应用程序中使用？无论Office加载项是用于Office桌面还是联机版本，Office加载项都是一个web应用程序 我们可以在web应用程序中验证两个常用流，一个是隐式流，另一个是授权代码流。以下是这两个流之间的区别： 隐式流：外接程序和在线服务之间的通信是通过客户端Jav

如何在Azure Active Directory上创建邀请策略，并使用它在web应用程序中向用户发送企业对企业（B2B）和企业对消费者（B2C）的邀请？我使用Azure AD B2B的邀请API发送邀请，但在Azure AD B2C中使用时无法发送邀请。此时，Azure AD的B2B协作功能与Azure AD B2C不兼容Azure AD B2C没有任何内置的邀请机制，因为它是为通过注册和注册/登录策略进行自助注册而定制的。您可以投票支持一个现有的反馈请求： 您可以通过创建自己的邀请UI来实现

使用Azure Active Directory当我为我的web应用程序应用单点登录时，我能够成功地执行基于密码的单点登录 但是，当我使用集成Windows身份验证（主要用于kerberos身份验证）时，我无法配置它。我很困惑 有人能告诉我如何为web应用程序启用kerberos身份验证吗。 或者请向我发送任何示例链接，说明如何为web应用程序设置kerberos身份验证 谢谢 如果您正试图将Azure AD与Kerberos一起用于Windows集成身份验证，则会有一条关于AADConnect

我正在寻找一个文档/文章，类似于那个）的v2应用程序 有什么建议吗 您好，蒂波特谢谢您的反馈。是否有一个特定的领域让人困惑，或者你想知道更多我现在可以帮助的信息？嗨，丹尼尔，这个请求来自我的一位客户。他们使用没有O365的Azure AD，只是将SaaS应用程序与AAD集成。他们已经对这个主题有了相当深入的了解，但由于缺乏关于v2属性的文档，他们不知道如何利用所有这些属性以及它们的用途。感谢您的解释和澄清。你很快就会看到更多的文档进入v2。我很想知道是否还有其他不清楚的具体方面可以帮助指导我们的

我目前正在尝试使用MS graph api为组织内的用户获取officeLocation字段。我正在使用以下端点： https://graph.microsoft.com/v1.0/users/email@domain.com?$select=department,displayName,jobTitle,mail,officeLocation,usageLocation 但是，officeLocation返回为空。查看文档，似乎我需要Read.All权限，这是一个管理级别的权限。有没有其他方

我正在使用Microsoft.AspNetCore.Authentication.AzureAD.UI包。 和Startup.cs中的简单身份验证： services.AddAuthentication(AzureADDefaults.AuthenticationScheme) .AddAzureAD(options => Configuration.Bind("AzureAd", options)); 如果我将应用程序发布到Azure Web App，一切正常。但我的应用程序在

我已将应用程序发布为Azure WebApp，该应用程序使用Azure ActiveDirectory进行身份验证 这需要重定向到AD，并在验证后重新路由回我的web应用 这在使用xxxx.azurewebsites.net uri时可以完美地工作，但在使用域屏蔽时无法正常工作 如何将自定义域与ActiveDir auth一起使用 屏蔽可以在没有azure认证的情况下工作，但回复URL会引发错误（我将很快发布）。您是否已将自定义域作为回复URL添加到AAD中的应用程序？@juunas yes I

我正在使用CURL请求： curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d 'client_id=123489hfdufkd924449&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default&client_secret=sjksjaadwq928449282348djffegke&grant_type=client_credential

我有一个支持SAML2.0的应用程序。我想将Azure AD配置为Id提供程序。我想在Azure AD用户配置文件中存储我的SP的唯一标识符。我找不到该怎么做 更具体地说，我可以选择任何用户配置文件属性作为SAML响应中NameId的值。但我不想使用Azure AD标准用户配置文件属性。我可以设置user.extensionattribute1，但在哪里可以设置此属性的值 注: 1.我正在使用Office 365订阅的试用版Azure广告。我能够将Azure AD设置为基于SAML的SSO Id

我已经在Azure FrontDoor中启用了Web应用程序防火墙，该防火墙使用检测模式的默认策略。 在WAF生成的日志中，我们可以看到防火墙正在将AAD中设置的回复url标记为“操作为块” 我相信防火墙会将此视为威胁。 由于广告认证工作需要url，如何确保安全性？ 或者可以忽略这一点？您不需要正确设置回复URL，因为它实际上只需要获取访问令牌。如果您正在获取访问令牌，并且不需要访问回复url，那么您不必担心这一点 如果为了应用程序的目的想访问回复url，可以取消阻止它，但是如果您知道回复ur

我正在尝试创建一个应用程序，该应用程序运行于AWS lambda，充当希望使用Microsoft Bookings注册预订的客户的中间人。根据文档，我能够为Graph生成一个访问令牌，但是当我试图通过api从预订中请求信息时，我得到了一个授权拒绝 我的代码： import request from "request"; import { Callback } from "./callback"; const APP_ID = process.env.BOOKINGS_APP_ID; const

我想获取Azure广告组中的所有组成员。有5000名用户。我只让500名用户使用Azure AD connector获取组成员我如何在循环中这样做，这样它将一直移动到101到200名用户。有什么建议吗？这有点复杂，但您需要做的是获得原始响应，azure ad connector本质上是一个图形api调用，因此当您调用它时，它将获得一些最大数量的用户，但在响应中，@odata.nextLink字段中也会有一个url。此字段包含指向下一页结果的url。因此，在logic app或flow中，您必须首

我遵循此microsoft文档尝试了太多次，但仍然遇到此错误。我的哪一步做错了？ 您的链接无效。根据您提供的图片，您应该使用。我试图重现您的问题： 出现错误的原因是您使用了错误的code。请检查您的代码以确保其正确 链接不起作用。也许你也可以输入你正在测试的代码，谢谢。你需要发出POST请求。一点也没有。

你知道多租户Azure广告应用模式中的唯一用户id吗 我现在正在用Azure广告开发应用程序。为了识别每个用户，我想知道唯一的id——我将使用它作为我们自己数据库中的密钥来保存用户的数据 在这种情况下，user对象中的id参数是“用户的唯一标识符”，但我想知道它是每个租户中的唯一id还是所有租户中的唯一id？这很重要，因为我的应用程序将在多租户中使用 供参考： 如果用户id仅在每个租户中是唯一的，我将连接和用户id以使所有租户中的id都是唯一的。id属性是一个随机GUID。虽然不太可能有两个用户

我使用的目的是在Outlook web加载项中获取OAuth令牌，以便可以将其用于EWS托管API的OAuth凭据（该代码位于使用ASP.NET web API的Azure应用程序服务中） 我已在我的测试Office 365租户（例如mytenant.onmicrosoft.com，它不是托管web应用程序的同一Azure订阅-如果有必要）中将我的应用程序注册配置为oauth2AllowImplicitFlow设置为true的本机应用程序。我使用本机应用程序类型而不是Web/API应用程序来绕过

如何通过Microsoft Graph API向组中添加成员 根据向特定组添加成员的文档，它需要以下调用： POSThttps://graph.microsoft.com/v1.0/groups/{id}/members/$ref 内容类型：application/json 内容长度：30 { “@odata.id”：”https://graph.microsoft.com/v1.0/users/{id}” } 我的问题在于这个API： https://graph.microsoft.com/

我是不是误解了这一点——见图 我转到管理Azure AD B2C的文档，它告诉我使用Azure AD Graph API，而不是微软Graph API 然后我单击链接转到Azure AD Graph API，它告诉我使用Microsoft Graph API，而不是Azure AD Graph API 两个问题： 我在Azure AD B2C中使用什么来管理用户？Microsoft Graph API或Azure AD Graph API 根据您对问题#1的回答，与我应该使用的Graph AP

我们使用/v1.0/me/people api从MS Graph中为用户获取相关人员。当前设置从2017年10月一直工作到2018年4月，现在API调用返回403。我发现这个API现在需要人。读取作用域才能工作（）。我的当前令牌具有作用域：User.Read User.Read.All User.ReadBasic.All。我已尝试从Azure Portal修改应用程序注册中的权限，并已将此权限保存在MS Graph下-“委派权限”：“阅读用户的相关人员列表”。但我的令牌似乎仍然没有人。请阅读范

在单个Azure AD B2C租户中，我有一个用户目录。另外，我有2份注册申请。称它们为App1和App2 假设用户已经注册了来自（并被重定向回）App1的帐户，现在该用户位于公共用户目录中，他/她也可以登录到App2，我对此无能为力 这对我来说没有多大意义，我需要限制它。我如何控制用户可以访问哪些应用程序？用户可以访问任意数量的已注册应用程序。我似乎在Azure门户中找不到 当然，我也可以在应用程序端应用任何解决方案，例如通过检查一些声明或其他内容，但我仍然需要知道如何管理这些限制。（这可能是

假设我有一个web应用驻留在Azure中并使用Azure AD，并且我将其配置为使用Azure AD进行身份验证 设置->身份验证/授权->身份验证提供程序->Azure Active Directory 现在我希望某些页面和URL路径可以公开使用（无需身份验证） 我如何配置它？不知怎的，我偶然发现了答案 配置方法将在以下文章中介绍： 您需要将“要采取的操作”下拉列表保留为“允许请求（无操作）”，然后应用程序可以根据需要将用户重定向到登录页面。这在Azure门户中没有得到充分的解释，导致了我的

我有一个要求，让用户选择编辑他在前面步骤中给出的细节 示例： 编排步骤1：收集用户信息，如姓名、电子邮件、国家/地区 编排步骤2：发送电子邮件验证并验证电子邮件。这里应该有一个选项来更改他的详细信息，比如电子邮件。当用户单击该链接时，我们应该显示步骤1。否则继续执行步骤3。 编排步骤3：收集其他详细信息，如密码 如何实现这一点？在B2C中，用户注册流程按照以下步骤为本地帐户发送电子邮件： 通过发送代码验证电子邮件 设置密码 收集用户信息，如姓名、电子邮件、国家/地区 注意：如果启用MFA，当您

假设我有一个我开发的WEB API，并且该WEB API已经使用应用程序注册受Azure AD保护 现在WebAPI有一些角色，比如管理员、用户和经理 我也想将这些角色存储在Azure AD中，并获取Azure的访问令牌，因此在访问令牌的JWT声明中，该角色存在 如果这是可能的话，有什么提示吗？您可以将其插入Azure广告应用程序并进行下载 那么组中的用户将拥有如下声明： { "roles": ["{the role you customized}"] } 之后，角色将包含在访问令牌中。您

我正在建立一个新的blazor服务器端托管项目。通过VisualStudio模板，我配置了AzureB2C个人帐户。我已成功创建应用程序注册，并添加了两个身份提供商。通过电子邮件和Microsoft帐户 当按下默认演示应用程序中的登录按钮时，它会转到登录页面并直接重定向到我的本地主机站点。但是我没有登录，而是经常被发送到 由于我没有收到任何其他信息或例外情况，我似乎不可能解决这个问题 我错过了什么 编辑1 我在VisualStudio调试输出窗口中发现了一些有用的输出 Microsoft.A

Azure AD中应用程序注册的清单如下所示 "allowedMemberTypes": [ "User" ], "description": "DocuSign Admin", "displayName": "DocuSign Admin", "id": "{GUID}", "isEnabled": true, "lang": null, "origin": "Application", "value": "42036433"

为了在API之间建立Azure AD系统管理的标识，我在应用程序清单中为我的目标API定义了一个自定义角色 "appRoles": [ { "allowedMemberTypes": [ "Application" ], "description": "Allow the application to read all thin

有没有办法排除访问包站点要求外部用户使用MFA？没有，我们不能从条件访问MFA中排除特定页面 请在此门户中提高用户的声音请告知此答案是否对您有帮助。如果是这样，请记住使用复选标记将其标记为答案，以便社区中有类似问题的其他人可以更轻松地找到解决方案。另外，请抽出几分钟让我们知道我们是如何使用此链接的

在我的应用程序中，通过POST/users REST webapi端点创建新用户记录时，下面是涉及的步骤 步骤1：在Azure Active DirectoryAAD中创建条目 步骤2：步骤1成功后，向关注的用户发送电子邮件通知，告知我们应用程序中的用户创建情况。此功能已使用Azure storage queue&sendgrid实现。目前，步骤2的故障不会回滚步骤1 步骤3：步骤2成功后，在Azure cosmos数据库中创建用户文档。目前，步骤3失败不会回滚步骤2或步骤1 以上三个步骤都必须

为了与我们的公司品牌保持一致，我想使用我们的子域myaccount.example.com，而不是使用.b2clogin.com/.onmicrosoft.com。我已经看到了可以做到这一点的参考文献，但我没有看到任何例子。有没有关于如何做到这一点的示例、文档或教程？我找到了另一个类似于蒂亚戈·布伦克提到的例子 以下是简单的步骤 1.将自定义域名添加到Azure AD 在prosware.com页面上，复制DNS信息。 2.将您的DNS信息添加到域注册器 3.在Azure中验证您的自定义域

有人知道我可以使用API在Azure AD中为我的用户自动重新注册2FA身份验证吗？任何指向文档或其他内容的帮助都将不胜感激。这还没有出来，它出现在Graph API用户语音中： 如果你也想这么做，那就投你的一票吧

我正在尝试在Microsoft Graph API中创建模式扩展 但它已失败，错误消息为“属性类型对目标类型无效” 回应 { "error": { "code": "BadRequest", "message": "Property type is invalid for target types.", "innerError&qu

我真的很难理解到底发生了什么。My is My SPA不断获取刷新令牌，即使我没有请求，Azure上的权限也没有脱机访问权限 我如何才能不获取刷新令牌 我的请求URL（注意不请求脱机访问） Azure上的权限（无脱机访问） 同意屏幕（要求用户给予脱机访问权限） 结果，我有刷新令牌，在客户端上使用刷新令牌不是一个好主意。 使用azure ad v2.0端点时，这是一个已知的问题，相关文章 还提到： 此权限当前显示在所有同意页面上，即使对于不提供刷新令牌的流（例如隐式流）。此设置解决了这样的场景

是否有方法添加AAD同意屏幕中显示的自定义文本？ 我查了一下文件，巴德似乎没有找到办法（） 由于安全考虑是用户旅程的一个重要部分，我们希望在同意屏幕中详细解释（或至少放置一个个性化句子），并解释为什么应用程序需要访问所有这些数据以及它将用于什么目的。否，您将无法添加自定义文本来解释为什么您的应用程序此时需要在“同意”屏幕中显示某些权限。“同意”屏幕会对每个权限进行简要描述，如果您想了解您想要自定义的具体内容，那将非常有趣 我鼓励您在上请求此功能 这将是一个非常简洁的特性。好吧，现在还不能做。

我正在构建一个Azure函数应用程序，该应用程序使用Microsoft Graph API进行身份验证。我创建了一个processCode函数，它充当我的重定向URI，它使用Graph API发送的代码生成Graph令牌 但是，Azure函数在其调用中使用code查询字符串参数来传递函数键 我是否可以将Graph API重定向URI配置为使用除code之外的其他查询字符串参数 本质上，改变 https://myapp/api/processCode?code=GRAPH-CODE (confli

我不熟悉Kusto查询语言，正在尝试编写一个查询，以查找分配了全局管理员角色的AAD帐户，并获取其在一段时间内（即30天）的登录次数 我想我会找到一些可以开始的示例查询，但我没有找到任何示例 我不确定我的搜索条件是否正确，或者如果不使用其他Azure数据结构，使用Kusto可能无法轻松完成此任务 如果可能的话，你能告诉我一些提供此类查询示例的参考资料吗 谢谢，一个好的开始就是感谢您的回复。我能做基本的Kusto查询；但是，我不知道如何构造Kusto查询来枚举具有全局管理员角色的AAD帐户。Kus

我使用应答文件安装Windows 10 20H2。然后我加入计算机到Azure广告。然后当我尝试使用Azure广告帐户登录Windows时，我看到的是旋转的圆点，而不是应该创建的pin。我已经让旋转进行了12个多小时，没有任何变化。如果安装相同的操作系统而不使用应答文件，则不存在此问题。我曾尝试注释Autounattend.xml文件的部分，试图隔离有问题的设置，但似乎它的唯一工作方式是根本没有应答文件 以下是我使用的答案文件： <?xml version="1.0"

我正在为应用程序使用OAuth 2 ROPC流对用户进行身份验证，我想知道为该用户分配了哪些角色，以便应用程序知道要启用/禁用的功能 我已经成功地获得了用户的所有应用程序角色，方法是在页眉中使用当前访问令牌点击REST url。然而，我真的不关心任何角色，除了用户对他发出请求的应用程序的角色之外。是否有办法将其限制为发出请求的应用程序或特定的客户端id？您可以使用以下方法： GEThttps://graph.microsoft.com/v1.0/me/appRoleAssignments?$fi