我已在azure active directory中添加了我的本机应用程序的详细信息，并为Windows azure active directory应用程序添加了“签名和读取用户配置文件”的权限，以及为Office 365 Sharepoint online应用程序添加了“读取和写入用户文件”的权限。添加这些权限后，我可以对用户进行身份验证并检索用户的单驱动器业务帐户的访问令牌。但当我调用webservice检索默认驱动器详细信息时，它会给我“401 unauthorized error”（4

我已经在我的开发广告B2C租户中创建了“customerId”用户属性。当通过graph API查询这些时，我现在得到以下信息： "extension_b0ba955412524ac8be63e24fa7eb0c23_customerId": "2" 太好了！我使用JSON.Net将其转换为强类型对象，因此我的POCO具有以下属性 public string extension_b0ba955412524ac8be63e24fa7eb0c23_customerId { get; set; }

如何明确触发MFA提示（例如，从Azure Active Directory或ADFS用户的web服务触发） 一个示例场景可能是，在用户进行身份验证并启动与web应用程序的会话后，某些操作将由MFA验证进行限制 我发现有一些解决方法可以通过使用MFA登录，然后让软件提示登录来建立类似的行为，但SSO会阻止这些提示始终到达用户： 此处的目的是触发与身份验证分离的MFA验证。需要选通的操作需要是需要MFA的资源。如果资源需要MFA，而用户未使用MFA登录，则会提示他们。本文似乎涵盖了这个用例

我有一个应用程序已经使用azure AD进行身份验证。 现在，我们需要将MS onedrive集成到其中 现在，为了这样做，我们不希望用户再次登录。 应用程序登录中生成的Oauth令牌是否可以用于图形API。或者以其他方式跳过onedrive的MS登录 我已经看过了。但我的问题有点不同，我已经在使用Azure AD进行身份验证 提前感谢。当用户登录时，您可以获得多址令牌。 您需要为MS Graph API获取令牌。 您可以使用相同的授权代码两次来获取两个访问令牌，也可以使用第一个获得的刷新令牌来

我正在使用Azure AD B2C，在API访问（必需权限）下找不到Dynamics CRM online选项。我们是否可以在B2C中使用Dynamics CRM online。 提前谢谢 Azure AD B2C和Dynamics 365之间有一个内置的客户参与集成，支持外部客户使用本地帐户和/或任何联合社会身份提供商登录 有关将Azure AD B2C配置为Dynamics 365 for Customer Engagement门户的身份提供商的更多信息，请参阅。Azure AD B2C和D

我正在尝试从Azure Active Directory获取用户的首选目录位置（PDL） 我使用了Graph v1.0，但在响应中未收到PDL值： https://graph.microsoft.com/v1.0/users/{upn}?$select=preferredDataLocation https://graph.microsoft.com/beta/users/{upn}?$select=preferredDataLocation 但当我使用Graph Beta时，我会在响应中收

运行脚本以导出特定AzureAD组中的所有成员，但仅获取一半用户，而不是所有用户 我验证了Azure门户中有成员，但导出只给了我一半 这是我运行的脚本： Get-AzureADgroupmember -objectid "xxxxxxxxxxxxxxxxxxxxxx" | get-azureaduser | Export-Csv -path C:\temp\memberexport.csv 为什么只导出组中的一半而不是所有用户 谢谢，当您不指定-All以及-Top可选参数时，那么Get-Azu

我想开发一个计时器作业（C#），它将在后台运行，没有任何登录用户，通过它我需要使用图形api从Azure AD获取用户配置文件（配置文件图像和作业标题）。 我希望使用委派权限（User.ReadBasic.All）来实现这一点，因为我不允许对User.Read.All使用应用程序级权限。 那么我有什么办法可以做到这一点。是的，但用户必须至少登录一次您的应用程序才能启动该过程 您可以这样做： 用户登录到你的应用程序（例如，这可以是一个单独的Web应用程序） 以安全的方式存储接收到的刷新令牌（每个用

我的Azure广告组织中有几个外部广告来宾用户。其中一个用户在外部广告中更改了其用户主体名称，但此更改未反映在my Azure广告中 但我无法使用Azure门户更改他在我的组织中的用户主体名称（当我单击“编辑”时，该名称变灰）。我还注意到，在显示组织中所有用户的“All Users”表中，“Directory Synched”列有“No” 问题：如何启用同步，以便当用户主体名称、电子邮件或其他信息发生更改时，对于拥有Source=“External Azure Active Directory”

我正在使用以下命令连接到连接到Azure AD的lastpass企业帐户。在请求主密码并输入我的AD密码后，它给出错误：密码无效 我可以使用浏览器登录到Lastpass，但是我需要使用一个bash脚本，使用lpass命令登录到Lastpass，但这个命令不起作用。 有人知道如何使用lpasslogin命令使用联邦登录连接到LastPass吗 正如我发现的，当Lastpass连接到Azure AD时，它将不再使用主密码，那么在这种情况下，lpass login命令是如何工作的呢 $ lpass l

我正在使用一个客户端，我们需要将ROPC身份验证过程与证书断言（而不是客户端机密）一起使用。我现在不建议使用此流，但它当前是选定的选项。这是我们正在讨论的一个C#deamon应用程序 我已经能够通过使用证书和用户名和密码获取客户机断言令牌，使用常规http rest调用将客户机_密钥替换为客户机_断言来实现这一点。然而，我显然更愿意使用MSAL SDK来避免rest调用导致的所有错误。有人这样做过吗？您知道使用MSAL SDK是否支持此方案吗？我找不到关于它的任何东西 …我已经用 目前，Mic

我正在使用来查询用户列表。我用于此查询的帐户是一个管理员帐户，它是多个目录的成员 如何使用Microsoft Graph API控制要查询的目录？首先，如果您已经登录，请注销Graph Explorer，然后点击https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=xxxxx（xxxxx是租户id）或https://developer.microsoft.com/en-us/graph/graph-explorer?t

现在是2021年，但我又遇到了这个问题 调用/usersMS Graph API时，会显示： { “错误”：{ “代码”：“未找到授权标识”， “消息”：“无法建立调用应用程序的标识。”， “内部错误”：{ “请求id”：“b2d9ec62-0b65-44eb-9e0f-4aec52b45750”， “日期”：“2021-01-22T10:19:48” } } } 我使用“客户端凭据”流，并且我已经配置为获得管理员同意以获取租户id。然后使用它调用https://login.microsoft

我们使用自定义idp（identity server 3）对系统上的用户进行身份验证。现在我需要实现Azure AD身份验证。我尝试将Azure AD添加为外部提供商。它在浏览器上运行良好，但在MS Team应用程序上，它不起作用，因为Microsoft Team应用程序在Iframe中打开，而Azure AD在Iframe上不起作用。 我实现了Microsoft msal.js库以使用Azure AD进行身份验证。我能够在前端进行身份验证并获取令牌。但是我如何将该令牌传递给identity s

上下文 我是Azure订阅的联合管理员 我在同一个文件夹中创建了Azure active directory 我启动了Azure Powershell Azure帐户已成功添加 问题 但是，当我启动命令“Get AzureADUser”时，它无法提供所需的信息 另外，当我尝试像valid objectID那样输入正确的内容时，它并没有返回任何值 问题 Azure Powershell命令“获取AzureADUser”与哪个Azure AD建立连接 “获取AzureADUser”命令与Azur

基于URL:中提到的代码示例，我实现了一个应用程序，该应用程序使用WS-Federation（ASP.Net WS-Federation OWIN中间件）对来自Azure AD租户的用户进行身份验证。现在，我正在寻找一种方法，稍后在我的应用程序中查询Graph API，以从应用程序的角度获取所需的其他索赔信息 在这个场景中，我想知道是否可以查询Graph API。我是否需要将现有的WS-Federation协议更新为OpenId Connect 任何人都可以帮我提供他们的指导。理想的做法是使用O

我已经看过很多关于这个话题的帖子了。很抱歉添加了另一个，但我无法解决我的问题。我已经创建了一个ASP.NET Core 2.1 MVC应用程序并发布到Azure。错误是： AADSTS50011:请求中指定的回复url与为应用程序配置的回复url不匹配：“a7f1d462-fce3-402c-9975-ac6f00c93a50” My appsettings.json is: "AzureAd": { "ClientId": "a7f1d462-fce3-402c-9975-ac6f00c

如何以编程方式在azure active directory b2c刀片服务器中上载内置策略 有人知道为什么azure portal中禁用上载策略按钮吗？上载策略按钮仅适用于自定义策略

Microsoft Graph beta API允许我们将新应用程序发布到Azure AD（v2.0） 如果我使用如下url将这些应用程序发布到特定租户： https://graph.microsoft.com/beta/{tenantId}/applications ，我可以在哪里查看这些应用程序？它们当然不在我的页面上（我检查过），它们也不在上的租户的注册应用程序列表中 PS：我知道正在创建我的应用程序，因为我可以针对该url调用GET，它将返回该租户中的应用程序，包括我通过API创建的应

所以，我创建了azure b2c目录，并在it应用程序中创建了类似的，我在通用azure目录中创建了azure函数，该函数假设读取blob并返回json文件。我还为登录创建了自定义登录页面。 我在本地运行了我的程序，我可以登录，而不是调用github中使用的API，我调用azure函数，它就可以工作了。 但现在我想保护对该功能的访问，所以我将authLevel设置为“用户”，并尝试通过Azure Active Directory进行身份验证。 无论我如何设置，或者因为我没有权限而无法连接，或者因

我想用C#和rest api更新Azure AAD应用程序机密（密钥）。我应该使用哪个图形API（developer.microsoft.com） 另外，我可以通过应用程序身份验证调用RESTAPI吗？因为我需要将其作为后台作业运行。若要设置新机密，应用程序是否需要具有任何访问权限，以及如何为应用程序设置这些权限 应用程序和服务主体管理应使用Azure AD Graph API。 当AAD图形被弃用时， 这些功能在Microsoft Graph API上仍处于测试阶段。 他们最近在beta端点上

我已经阅读了，但我不清楚如何将发行人值设置为以下值。这是我可以从Azure门户抓到的东西吗。我使用的是“非图库应用程序” https://www.contoso.com 发卡机构是您的SAML2实体ID 这被设置为应用程序运行期间指定的应用程序ID URI 登记 因此，如果您的应用程序id uri类似于： https://your.app/saml 那么这就是您设置发卡机构的目的。entityID不是URL，尽管它们通常看起来像URL，在浏览器中打开它通常会下载实体的SAML2元数据，但它不

我们使用的是现代身份验证，在使用PnP时，您需要设置应用程序注册。然而，就我所知，是全部还是全部？有没有办法创建一个只对一组网站集（而不是所有网站集）拥有权限的应用程序注册 不幸的是，API的权限都是由设计的，您无法授予一组网站集的权限 如果你想改进它，你可以在azure上发布这个想法

我正在考虑为我的项目提供身份提供商，该项目支持开放ID连接和单点登录，并具有以下功能： 1基于角色的访问控制 2离线访问 我的问题是 1 B2C是否支持RBAC和离线访问 2 B2C和AD V2之间的区别以及它们的过程和缺点是什么？为什么Azure上有这么多的产品在做类似的事情 任何指点都将不胜感激 更新 更新2 关于使用B2C的RBAC 1从2019年2月起，是否有B2C直接支持而不是使用以下链接 ? 2如果不是在1中，那么在B2C中实施RBAC的计划是什么？Azure AD B2C主要

我创建了一个可以托管在客户端服务器上的web应用程序。如果客户端设置站点并尝试进行身份验证，则会出现“重定向URI不匹配”错误。这很有意义，因为他们的域没有在Azure Active Directory上的我的应用程序中注册为“重定向URI”。有解决办法吗？还是我必须不断向AAD添加新的重定向URI adalProvider.init({ instance: 'https://login.microsoftonline.com/', tenant: '{MY TENANT ID

我需要从PBI或GDS向我的1000多个客户显示报告，但使用azure active directory它非常昂贵 谷歌数据套装是否有类似azure active directory的功能 谢谢。不幸的是，不需要，他们需要向谷歌账户注册新账户。尽管他们可以继续使用电子邮件，但不需要gmail

我有两个安装了SQL Server和Analysis Server的Azure SQL VM，我想使用身份验证机制从一个VM访问另一个VM上的SSA，这将允许我使用SSM仅使用一个cred来访问它 我能够使用SQL身份验证访问这些虚拟机上的SQL Server，而对于SSA，我很难理解如何让一个windows用户访问另一台机器 当VM显示它们在同一个VNET中时，当我尝试将另一个VM windows用户添加到另一个VM windows用户时，它显示找不到 任何潜在客户都可以指定是否使用Windo

首先，我尝试在创建组时在同一http调用中添加组所有者作为所有者和成员： { "description": "test group", "displayName": "test_group", "groupTypes": [ "Unified" ], "mailEnabled": true, "mailNickname": "project.1-TestPreview", "members@odata.bind": [ "https://graph.m

我在跟踪 在MSTeam中添加应用程序。所有步骤均按照文档进行，但最后一步“在团队中注册应用程序”在安装应用程序时失败。下面是所附的图片 我还试图上传自定义应用程序，但它也会抛出错误，即出现了问题。 以下是图片： 这里是权限，我已经使它们都能够测试，但问题仍然是一样的 是否有人建议修复此问题？您需要确保您拥有将自定义应用程序侧向加载到团队中的正确权限，并且这可以在组织（即租户）级别、团队级别和个人级别进行控制。查看更多信息。您能否验证是否遵循了“准备您的环境”部分中的步骤？我现在尝试过多次

我正在尝试使用Microsoft的MSAL库请求目录.Read.All作用域，并使用acquire\u token\u by\u authorization\u code功能检索有效的访问/刷新令牌对 我请求组织的管理员使用/adminconsent端点同意上述应用程序权限（并已确认已授予权限-请参见下面的屏幕截图）。但是，当尝试使用Directory.Read.All作用域检索访问令牌时，出现以下错误： {'error': 'invalid_grant', 'error_description

我想知道关于让G套件用户（G套件作为IdP，Azure作为SP）对Azure订阅进行SAML联合访问，您有什么想法 我将与大家分享我发表的一篇关于这个主题的文章。我相信我会从你那里得到宝贵的反馈 所以。。。你的Azure订阅访问策略是什么？你是如何实施的？看起来你已经写了一篇关于这方面的文章，但是你可以使用Google Identity作为你的身份提供者，并按照链接的说明进行操作 看来我们也能成功地做到这一点 您将需要在两者之间进行调整。我认为前两个链接描述了一种与我已经采用的方法一致的方法。

我无法连接到VPN，GlobalProtect使用了错误的电子邮件Id，我试图找到可以传递正确电子邮件的选项，但没有找到任何内容 我想使用另一个正确的EmailId，而不是附件快照中显示的电子邮件，在GlobalProtect设置中不显示“注销”按钮 任何帮助都将受到感谢。谢谢。您可以通过=>右击您的全球保护图标=>单击右上角按钮=>设置来注销您的错误帐户： 一般标签： 我的案例中未显示“注销”按钮。我正在使用GlobalProtect 5.1.1-12@Smash我的版本是5.1.5-2

我已成功使用curl获取并更新Azure Active Directory租户中用户的邮政编码，命令如下： curl -X GET https://graph.microsoft.com/v1.0/users/<userGuid>?\$select=displayName,givenName,postalCode,xyz -H "Authorization: Bearer $AAD_BEARER_TOKEN" 这给了我“InvalidAuthentication

我们计划从当前基于自定义表单的身份验证迁移到Azure Active Directory。正在考虑以下是否可行（自定义表单身份验证实现如下）。如何使用Azure Active Directory实现这一点 目前，公司网站具有此功能，会员可以选择继续登录。选择保持登录的用户将获得持续90天的cookie。当再次访问该设备上的成员区域时，成员无需输入用户名和密码 此外，其他网站，如我的帐户/维护配置文件，虽然它们使用相同的凭证存储，但不提供停留登录功能。但为了方便会员，如果他们已经登录到网站并进入我

我可以看到您可以使用graph API创建应用程序注册，但是否可以向应用程序注册添加用户和角色？Microsoft graph测试版端点中提供了应用程序角色分配：请参阅 为了让您了解如何向用户添加应用程序角色分配，我建议您查看GitHub上示例的PowerShell脚本，它创建给定角色的测试用户并更新应用程序注册。这在PowerShell中，但您应该能够使其适应使用MSGraphMicrosoft Graph测试端点中提供了应用程序角色分配：请参阅 为了让您了解如何向用户添加应用程序角色分配，我

作为CSP合作伙伴，我们目前在自动化过程中使用MSOL cmdlet。我们目前正在将实现切换到Microsoft Graph API MSOL通过获取MsolSubscription，提供了一种了解订阅是否由我们或其他服务提供商购买的方法。为了知道这一点，我们检查了OwnerObjectId属性，如果该值是用我们的Id设置的，我们就知道它是买给我们的。否则，该属性为空 Microsoft Graph API似乎不支持此功能。似乎没有公开我们正在寻找的功能 有什么想法吗？如果我理解正确，您希望按订

在AzureAD中，我的用户具有以下用户名：firstName。Surname@live.se 我假设这是principalUserName，但当我查询Microsoft Graph时，它说它不存在： https://graph.microsoft.com/v1.0/users/firstName.Surname@live.se 当我改用id（GUID）时，我会返回用户，我可以看到userPrincipalName实际上是firstName.lasname\u live.se#EXT#@fir

我正在将SAML服务提供商与MS AAD集成，我发现单次注销存在问题。我的服务提供商只支持注销绑定“HTTP-POST”。而且AAD似乎只支持注销绑定“HTTP重定向”。基于我从AAD获得的SAML元数据，我认为是这样的-这是我能看到的唯一SingleLogoutService元素： <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http

我正在尝试使用Microsoft graph API读取和写入生日和Hiredate用户属性。我在下面配置了应用程序和委派权限 作为一个普通用户，我在为azure管理员工作时遇到拒绝访问错误 代表 User.Read、User.ReadBasic.All、User.ReadWrite、Directory.accessUser.All（仅限管理员）、Directory.Read.All（仅限管理员）、Directory.ReadWrite.All（仅限管理员）、User.Read.All（仅限管理

Javascript标记未从login.microsoftonline.com域加载到ad b2c自定义页面中。 但它是从tenantname.b2clogin.com域加载的 这是正确的行为吗？ 如何修复它以从login.microsoftonline.com域加载它 这种行为是故意的。JavaScript不会在login.microsoftonline.com上运行，您应该使用b2clogin.com。最好还是使用b2clogin.com，因为login.microsoftonline.co

（我为这个问题的长度道歉；我想说得透彻。） 我是Azure新手，正在尝试设置一个需要身份验证的“无服务器”API。我有一个函数，当身份验证未启用时（基本上只是Node.js中的“Hello，world”），该函数可以正确运行。但是，当我启用身份验证时，我得到的唯一响应是： You do not have permission to view this directory or page. 要启用身份验证，请执行以下操作： 转到Azure门户中的Azure Active Directory 转到

当我们尝试访问Microsoft Graph v1.0 API中的Sharepoint端点时，出现400错误，消息为“租户没有SPO许可证” 我们已经注册了Azure AD应用程序，并为相关端点分配了应用程序权限（而不是委派权限），因为我们需要访问端点服务器到服务器（即，在经过身份验证的用户的上下文之外） 租户连接到Office 365业务订阅，我们可以将其分配给用户，但在本例中，租户是目录本身，我们不知道如何将订阅分配给该用户 关于这一点，似乎只有很少的信息可用，而且大部分信息都适用于委托权限

我正在使用Microsoft Graph使用应用程序凭据创建日历事件，其中将使用组织者的电子邮件id： https://graph.microsoft.com/v1.0/users/<organizer_email_id>/calendar/events 我看到事件已创建，但它正在使用旧名称发送邮件，并引发以下错误： HTTP Status code : 412 Precondition Failed. { "error": { "code": "Erro

我的组织在登录时需要无密码的电子邮件身份验证。我试过了&这对我很有效。我想自定义用户界面并添加品牌页面，而不是默认页面。我遵循文档，但没有获得oevrall流程。 如何自定义用户界面和背景图像。关于这篇文章，您没有了解到什么，请更具体一些？您引用自己的HTML，它提供了页面样式的所有内容，并带有一个空的div元素，b2c将在其中插入表单。我遵守海关政策。我在更改上载策略时发现错误。您遇到了什么错误？

我们使用sso登录到Office365和我们自己的内部网。sso进程返回saml2断言，我的代码可以使用该断言 我希望使用它来获得访问graph api的授权令牌 我已按照这里的说明： 最后出现错误：“AADSTS50107:请求的联合域对象“”不存在。” 我得出的结论是，这是因为我们的Office365域是托管的，而不是联邦的，并且这个流不能与托管域一起工作（尽管不清楚为什么不能） 我也遵循了这里的说明： 最后我出现了一个不同的错误：“AADSTS700001:Application:spn:

我已经创建了一个自定义Azure AD角色，用于读取目录中的服务主体。这样用户就可以排除故障，而无需寻求其他支持。但是，我无法将此自定义角色分配给整个安全组。如何将此角色分配给组中的所有用户？您可以使用powershell将此角色分配给组中的所有用户，请尝试下面的脚本 首先，您需要安装powershell模块 Install-Module -Name AzureADPreview 连接AzureAD $members=获取AzureADGroupMember-ObjectId“” $role

如果组织拥有多个域，并且开发人员正试图使用在其中一个Azure租户中注册的应用程序使用graph rest endpoint创建用户；在这种情况下，可以创建一个要在另一个域中创建的用户。无法理解。非常感谢您的帮助。Azure AD应用程序需要在目标域中获得适当的权限。如果您创建一个多租户应用程序，那么它应该能够在每个目标域中被授予权限。在身份验证过程中，您将以“/common”为目标，而不是单个Azure AD域，以获取适当的访问令牌。有关创建和身份验证的更多信息，请参阅以下链接 Azure

我接着介绍了如何使用Active Directory B2C实现自定义策略。一切都很正常，我唯一关心的是自定义声明会像序列化对象一样返回。让我解释清楚一点。我成功创建了Azure函数，该函数返回自定义声明。编码后的JWT如下所示（请关注“userPermissions”值）： { “exp”：1594560277， “nbf”：1594556677， “版本”：“1.0”， “授权时间”：1594556677， “userPermissions”：“{\r\n\“permissions\”：\“

我有一个RESTAPI，它使用Azure添加应用程序注册来允许其他应用程序调用它。 在Azure门户中，我已将其注册为企业应用程序，还注册了消费者应用程序，并为其适当分配了角色。 身份验证和RBAC工作正常。 但我正在处理的用例要求我识别并记录传入请求调用应用程序的名称（当我们查看企业应用程序的用户和组列表时，在门户中看到的名称为“显示名称”） 根据互联网上的建议，我正在使用一些与身份相关的API从请求头读取声明 var provider = claimsUser.FindFirst("

我想在一个驱动器中获取文件的唯一ID。如果您选择一个文件然后下载，则下载链接将包含唯一id。此外，如果您仅与特定人员共享word、powerpoint、excel和类似文件，则可共享链接将包含uinque id，但不包含链接中仅显示文件路径的照片和视频等其他文件的uinque id 是否可以像word和excel文件一样获取照片和视频的唯一id？是否有允许我这样做的API 谢谢你的回复。试试这个： https://graph.microsoft.com/v1.0/me/drive/items/&