嗨 我正在尝试使用powershell命令在ADLS（Azure DataLakeStore）中设置AAD（Azure Active Directory）应用程序权限（读/写/执行和其他设置） 我尝试使用下面的powershell命令： 设置azurermdatalakestreitemaclentry-AccountName“adls”-路径/ -AceType用户-Id（获取AzureRmADApplication-应用程序Id 490eee0-2ee1-51ee-88er-0F53AERR

我正在Azure中使用visualstudio帐户。我已经创建了一个新用户，并授予该用户对active directory的管理员访问权限。我还将此用户作为所有者添加到我的订阅中。 我现在以这个身份登录到新门户。我可以看到我的订阅。但是，我没有看到Azure ActiveDirectory的图标。因此，我尝试登录到旧门户。这一次，我被一个“找不到订阅”的提示阻止了，它不允许我继续。 发生了什么事？为什么这两个站点之间存在如此大的差异？经典（即旧）站点只适用于旧的访问模式（服务管理员和联合管理员）

我用的是adaljs。一切似乎都很好…我可以登录，注销，太棒了 现在，一个小时后…我再次加载我的应用程序，然后！不太好。我调试并看到adalAuthenticationService.userInfo.isAuthenticated==false和adalAuthenticationService.profile==undefined 当我得到这个时我该怎么办？我如何恢复 我什么时候使用这些功能？为什么 acquireToken clearCache clearCacheForResource

我需要在AAD中获取设备的组成员身份 在一次通话中，您可以获取通话组、选择通话组、获取通话组成员以及查找通话设备 https://graph.microsoft.com/v1.0/groups/xxx/members/yyy 我可以通过打电话到相同的设备 https://graph.microsoft.com/v1.0/me/registeredDevices/yyy 但我还没有找到任何相反的方法。很容易找到用户的组成员身份 https://graph.microsoft.com/v1.0/

我正在创建一个自动化的流程，所以我在SharePoint中创建了一个新的列表项，然后我使用MS Flow触发我的API，邀请用户加入我的Azure广告组织。现在我需要将Power BI许可证分配给这个新用户 是否可以使用Power BI API分配Power BI许可证 另外，我找到了分配PBI许可证的方法，但使用了PowerShell，但在我的情况下无法使用PowerShell。MS Graph API的方法可能会有所帮助。从流量触发也应该是可能的。希望这有帮助 正是我要找的！谢谢你，克丽斯塔

我正在写一个单词外接程序。外接程序将是可由组织（Office 365租户）或个人购买的付费外接程序 许可 一旦购买，用户将必须进行身份验证。为确保用户获得使用外接程序的许可证，我将通过 如果是个人购买者：查找与用户的Microsoft帐户关联的id或电子邮件 如果是组织用户：查找租户id和许可证参考号 我不希望Microsoft提供/存储任何许可数据。许可数据（条款和ID）将保存在我自己的数据库中 认证 在SSO退出预览之前，我计划使用Authenticatorfrom来获取已登录到我的加载项的

我构建了一个Azure WebAPI。在第一次创建项目时，我没有创建具有身份验证的项目。我添加了基于Microsoft代码示例的Active directory身份验证。它利用了我从NuGet获得的Microsoft.IdentityModel.Clients.ActiveDirectory。它很好用 然后，我从VS2017创建了一个WebAPI，并在项目创建时使用AD选择了身份验证。它包括Microsoft.AspNetCore.Authentication.AzureAD.UI 我不确定这两

我试图从我们组织的365名销售人员那里收到电子邮件 我正在使用grant\u type=password并提供scope='Mail.Read'，但是，无论我在scope参数上加了什么，API都只返回User.Read 我是这样打电话的： https://login.microsoftonline.com/{mytenantId}/oauth2/token 传递以下参数： client_id = myAppId, client_secret = myAppPassword, resource

以下是关于使用托管标识访问AAD Graph API的文章- 使用我的全局管理员帐户，我在powershell中执行以下操作： $AppRole = $WindowsAADServicePrincipal.AppRoles | Where-Object {$_.Value -eq "Application.ReadWrite.All" -and $_.AllowedMemberTypes -contains "Application"} New-AzureAdServiceAppRoleAssi

我的Azure广告从我的本地广告与Azure广告连接进行同步，无需密码哈希同步。我通过SAML使用Pingfederate作为身份提供者。也就是说，当我登录在Azure AD中注册的web应用时，我将被重定向到login.microsoft.com/xxx，在我提交用户名后，我将被重定向到Pingfederate登录页面并输入密码以完成身份验证 现在我遇到了一个情况，我需要以编程的方式完成这个身份验证。如果我使用ADAL或MSAL，我是否可以在请求中使用我的用户名和密码从Azure获取访问令牌，

我正在尝试创建一个AAD应用程序注册，其中包括返回到客户端应用程序的JWT令牌中的其他声明 其想法是需要将SalesRepID字段添加到每个AAD用户。然后，可以通过应用程序清单配置将SalesRepID包含在JWT声明中 这可能吗？步骤是什么？一篇文章或一个代码示例演示如何做到这一点会有很大帮助？这是可能的 1） 使用添加自定义属性。（请注意，它仅支持v1.0应用程序） 2） 设置自定义属性的值 3） 修改Azure AD应用程序的应用程序清单，并将扩展属性作为声明返回 此外，Microsof

我正处于困境中，缺乏在项目中为我提供指导的经验，我正在从那些拥有Azure广告、SSO和联盟经验的人那里寻求指导 我正在构建一个员工自助服务系统，并使用Azure广告进行身份管理。我希望用户能够使用其员工ID和密码登录，而不是使用其电子邮件地址；用户还可以选择使用其员工ID和其他个人信息注册在线访问——他们的Azure身份已经由人力资源部建立 登录流会将用户带到Microsoft登录页面，该页面反过来会检测到用户需要通过自定义登录页面登录，并将其重定向到该页面。一旦他们登录，我的服务器会将他们的

我正在使用测试oauth客户端凭据授予流。我正在按照MS Graph文档中的说明进行操作 我正在给你发邮件 https://login.microsoft.com/common/oauth2/v2.0/token 在请求主体中，我有以下JSON { "client_id": "***", "scope": "https%3A%2F%2Fgraph.microsoft.com%2F.default",

我正试图在windev项目中开发一个驱动器解决方案（Onedrive） 我在Microsoft Azure中创建了一个应用程序并创建了一个密钥 执行第一个请求时https://login.live.com/oauth20_authorize.srf?client_id={client_id}&scope={scope}&response_type=code&redirect_uri={redirect_uri}我在连接页面上被重定向 连接后，我会返回一个代码https://login.liv

当我尝试使用UpdateAsync（）更新对象（在本例中为用户）时，会出现以下错误： Message "Specified HTTP method is not allowed for the request target." 但该方法的Intellisense表示，它使用补丁更新指定用户，这似乎是正确的。还有其他人经历过这个错误吗 await _graphServiceClient.Users[u.Id].Request().UpdateAsync(user)

我们目前注册了Azure AD Premium订阅，专门用于允许O365用户的自助密码管理。经评估，基本广告订阅可能更适合我们的需要。有人知道如何将订阅从“特优”转换为“基本”吗 谢谢， -Tony V您应该能够简单地将订阅添加到AAD Basic，重新许可您的用户（例如使用AAD PowerShell），然后取消AAD Premium订阅

我正在使用（AADDS）并需要从中获取用户可访问的电子邮件地址信息（通常使用mail属性，但其他属性也可以），以便为一些经典web服务提供用户身份。如何在支持AADDS的Azure AD租户中设置每个用户的电子邮件地址 我可以在Azure门户中的每个广告用户的配置文件中看到一些电子邮件地址设置，但没有一个出现在与Azure广告同步的AADDS中

根据Microsoft Azure文档中的，我已经配置了一个自定义属性以与Azure AD同步 在Microsoft Graph Explorer中查看租户架构扩展应用程序时 使用/beta/applications/Blocked\u Tenant\u Schema\u Extension App\u Id/extensionProperties，我可以看到扩展属性已注册 问题是我无法确定如何在Microsoft Graph中为用户查看此内容 我已经尝试过为用户使用扩展，但是没有看到它 我还尝

我已在我的web应用程序中启用azure web身份验证，当未经身份验证的用户尝试访问它时，azure会将其重定向到https://example.azurewebsites.net/.auth/login/aad/callback页面，并显示消息“您没有查看此目录或页面的权限。” 对于未经授权的用户，我想重定向到另一个自定义页面以显示另一条消息，而不是显示上述消息 提前谢谢 谢谢， TusharACS以编码JSON的形式提供错误消息，如下所示 {“context”：null，“httpRetu

我需要从后台应用程序检索AzureAD中的所有设备，该应用程序需要在没有用户交互的情况下运行 到目前为止，我的研究结果还是空白，Graph API是获取实际数据的唯一选项，但不支持非交互场景( 问题 是否有方法/API以非交互方式获取所有设备？ 研究 图形API： 不支持非交互式screnarios，如以上文档截图和以下链接所示： Azure AD图形API MS不推荐使用，而且似乎也没有获取设备的方法。您可以使用以下“获取”。此调用检索组织中注册的设备对象列表 非交互式场景也支持此

我们的应用程序中有一个屏幕，用于通过Graph API更新Azure广告用户。如果用户是使用Azure Portal或Graph API创建的，我可以使用此屏幕更新用户配置文件 但是，如果在更新这些用户时使用AD Connect创建/同步用户（例如O365用户），Microsoft Graph将返回以下错误： 无法更新本地主目录同步对象或当前正在迁移的对象的指定属性 我有以下疑问： 是否可以通过从本地创建的Graph API将用户更新到Azure AD azure portal或Ad conne

我正在用php/javascript开发一个网站，通过Microsoft Outlook发送电子邮件 在测试服务器中，它运行良好，因为它位于localhost中，但在生产服务器中，它不适用于我，因为它有http协议 在azure门户中注册重定向url时，要求协议为https或localhost 我们的服务器没有https协议。有没有办法在没有https的情况下配置应用程序，或者您知道其他解决方案 谢谢你这里有几种方法可以让你做到这一点- 使用传统经验 Azure门户>Azure Active

我对证书密钥保险库身份验证有问题。一般来说，它在我的pc（win10）下运行良好，但当我在ubuntu/docker下运行相同的代码时，我收到空引用异常。（在这两种环境中，证书都存在） private async Task AuthenticationCertCallback（字符串权限、字符串资源、字符串范围） { 尝试 { var clientAssertionCertPfx=CertificateHelper.FindCertificateByThumbprint（_options.key

上下文 我正在开发一个浏览器应用程序，它使用msal.js库允许Azure Active Directory帐户访问我们的网站。应用程序已正确设置了clientId和作用域，并成功使用LoginDirect和acquireTokenSilent 问题 我面临的问题是，我无法保持会话打开，因为我没有看到“让我登录”消息（KMSI），因此我无法回答“是”，并使AADSSO cookie持久化。因此，在登录过程之后，如果浏览器关闭，我需要再次登录 期望值 如果我使用msal.js库从我的网站重定向到m

是否可以/支持在域控制器（Active Directory域服务）上安装Azure AD应用程序代理连接器 我找不到有关此的任何信息。如果域控制器引用，则答案是否 如果是指内部部署的AD DS，则答案是肯定的。但这也取决于你的使用情况 更新： 在开始实施之前，您需要满足以下先决条件。在本文中，您可以看到有关设置环境的更多信息，包括这些先决条件 应用程序代理引用： 如果域控制器引用，则答案是否 如果是指内部部署的AD DS，则答案是肯定的。但这也取决于你的使用情况 更新： 在开始实施之前，

在使用过程中，我发现keydove在获取外部身份提供商（Azure AD）的用户信息后，会自动在本地数据库中注册一个新用户。该用户的用户名能否以某种方式与外部身份提供商（Azure AD）的用户信息保持一致？例如，新注册用户的用户名自动设置为外部身份提供商（Azure AD）的用户邮箱 ps:Keyclope 7.0.1 windows10使用身份隐私映射器 对于电子邮件，映射器的类型为属性导入器。将用户属性映射到电子邮件 对于用户名，映射器的类型为用户名模板导入器。将用户属性用户名映射到${a

我已使用Microsoft.Identity.Web从安装了一个小型ASP.NET Core v3 Web应用程序 这个很好用。但当我以userA身份登录，然后从Azure广告中删除该用户时，该用户将保持登录状态。 我如何伪造我的应用程序来定期检查用户是否仍然存在或者他的角色是否发生了变化 据我所知，我可以设置OpenIdConnectOptions.UseTokenLifetime=false和CookieAuthenticationOptions.ExpireTimeSpan。 但我没有这些

我正在尝试使用URL从图形浏览器将组添加到我的Azure Active Directory https://graph.microsoft.com/v1.0/groups和JSON正文 { "description": "Group with designated owner and members", "displayName": "Operations group", "groupTypes": [ "Unified" ], "mailEnabled": tru

我已经注册了一个AzureAD应用程序，它是一个公共客户端/本机客户端 我正在门户中使用Azure生成的标准代码 重要的是 static App() { _clientApp = PublicClientApplicationBuilder.Create(ClientId) .WithLogging((level, message, containsPii) => { Syste

我在这里遵循了快速入门： 这非常有效，所以我需要注册我的应用程序，所以我遵循以下步骤： 但是现在我的单元测试给了我一个错误： Microsoft.IdentityModel.Clients.ActiveDirectory.AdalService异常： AADSTS65001:用户或管理员尚未同意使用 ID为“[GUID]”并命名为“[AppName]”的应用程序。发送一个交互式 此用户和资源的授权请求 我觉得我理解这个错误，管理员需要同意。我的程序在bakcgorund中发挥了一些神奇的作用，

我正在尝试使用graph api更新office 365组上的敏感度标签，如图所示，但我始终收到错误消息 我指的是这个链接（），我最近看到微软发布了这个敏感标签功能的公开预览，它可以应用于团体或团队。在我的租户中，已启用灵敏度功能 下面是我用来更新标签的代码。我使用的是nuget提供的Microsoft.Graph的最新版本 MSGraph.GraphServiceClient graphClient = GetAuthenticatedClient(); string grpId =

场景 我们有一个将被学校使用的应用程序。每所学校都有一个Azure广告实例，其中包含其员工和学生用户。这些用户可以通过其学校许可证访问办公室/团队等。我们还需要支持拥有帐户和登录的家长 对于家长帐户，我们需要使用类似B2C的东西，允许他们创建“本地帐户”或注册自己的Microsoft/Google/Facebook帐户 对于学生和员工帐户，我们希望允许他们使用AAD帐户登录 我的理解是，这可以通过在B2C配置中添加AAD作为身份提供者来实现。B2C还支持“IDP直通”，允许您获取正在使用的第三

我已将刷新令牌的生存期配置为90天，但Azure AD B2C返回的令牌始终仅为24小时。我需要做些什么来延长令牌生命周期？这是PKCE流的预期场景 根据, 使用授权代码的单页应用程序使用 PKCE始终具有24小时的刷新令牌生存期 它是一个单页应用程序吗？您正在使用MSAL.js 2.x吗？您是如何配置刷新令牌生存期的？在用户流中？我正在使用@azure/msal浏览器：2.7.0。我已经在用户流属性中配置了令牌生存期。以下是配置我有一个单页应用程序，用户在其中注册并与受保护的WebAPI交互。

我需要一个访问Microsoft graph api的解决方案，该解决方案使用的令牌对于多租户应用程序来说永远不会过期 我使用前端作为react，后端作为lambda函数 实际需求 需要将Microsoft应用程序（该应用程序将允许访问graph api）与多个用户使用相同身份验证的项目连接，相同的身份验证应一直有效，直到被撤销。以OAuth 2.0身份验证代码授权为例 当前，无法将配置为永久 因此，你可以 当它过期时，您可以使用。您所说的“令牌永不过期”是什么意思？是否要将令牌生存期保持为永不

我的公司使用单一租户azure active directory。我如何组织应用程序注册，以便按照业务单元或产品和非产品等对应用程序注册进行分类？根据我的经验，AAD不提供允许您对应用程序注册进行分类的功能 您可以手动将它们的名称设置为相同的格式以区分它们。或者将相同类型的应用程序添加到相同的安全组 如果您想限制不同的用户使用不同的应用程序，您需要和。您好，您有机会查看我的答案吗？有帮助吗？

如何获取当前用户使用azure graph api在active directory中更改密码的日期？ 我想在sharepoint托管的加载项中显示当前密码过期的天数。不幸的是，Azure AD Graph API和Microsoft Graph API中都没有公开此密码。目前不可能，但您应该明确请求，感谢您的反馈。我已在feedback.azure.com中添加了关于此的请求。现在有关于此的信息吗？

我使用此代码示例：，我知道此代码示例正在使用客户端库，但如果我想直接使用api调用执行查询（使用httpclient），我使用以下代码从缓存中获取访问令牌： string userObjectID = ClaimsPrincipal.Current.FindFirst("http://schemas.microsoft.com/identity/claims/objectidentifier").Value; AuthenticationContext authContext = new

根据docs（），我应该能够使用匹配的扩展来扩展所有资源实例。假设我想获取所有具有名称XXX标识的开放扩展名的用户。我怎样才能做到这一点？我尝试了以下方法： https://graph.microsoft.com/v1.0/users? $filter=Extensions/any(f:f/id eq 'assistenciasExtensions') &$expand=Extensions($filter=id eq 'assistenciasExtensions') 但

这是在继续 我最终不得不让有问题的用户担任管理员角色，然后我在上创建了一个新的应用程序注册 该应用程序通过点击https://login.microsoftonline.com/common/adminconsent?..具有所需参数的端点 一切正常，我甚至可以为该用户创建outlook邮件订阅 但问题是，端点https://login.microsoftonline.com/common/oauth2/v2.0/token没有给我刷新令牌。我尝试在获取授权代码的范围中包含脱机访问（参考-），但

我们有一个应用程序，它使用AAD B2B协作来邀请用户。这些用户在我们的AAD中创建为来宾用户。这一切都非常有效： 拥有AAD/Office 365的用户可以使用其普通凭据登录 没有AAD/Office 365的用户在邀请兑换流程中创建其帐户，并可以使用该帐户登录。微软将这些帐户存储在一个外部的、为我们隐藏的AAD中 情况： 组织使用我们的应用程序。此组织尚未拥有自己的AAD/Office 365。我们在AAD中邀请该组织的一些员工使用他们的电子邮件地址。他们在我们的AAD里有客人账户。 一

我目前使用 (Get-MsolUser -UserPrincipalName $EmailAddress).ObjectID.Guid 在Azure AD中按用户的主要名称查找用户并返回其guid。但是，有时用户会因为名称更改而更改电子邮件地址，而我收到的地址不是他们的主要名称，而是次要电子邮件地址 是否有一种基于备用电子邮件地址定位用户的方法？可能是模糊搜索？您可以使用以下PowerShell脚本筛选具有一个备用电子邮件地址的用户： Get-MsolUser | Where-Object{$

目前我有两个应用程序具有中断的sso体验。以下是场景： 应用程序1是单页应用程序，它使用Azure AD作为授权端点，并使用OAuth 2.0隐式授权授予来保护其web API后端（简而言之，我称之为Azure AD令牌基身份验证），几乎类似于以下流程： 应用程序2是一个web应用程序，它与CookieAuthenticationMiddleWare一起使用OpenIDConnectAuthentication中间件，并使用相同的Azure AD作为授权端点（简而言之，我称之为基于Azure

我有一个从Office 365管理API检索日志的脚本。一切正常，但现在出现错误： { "error": "invalid_resource", "error_description": "AADSTS500014: Resource 'https://manage.office.com' is disabled.", "error_codes": [500014], "timestamp": "2019-03-18 15:27:00Z", "trace_id": "ff9e

我正在尝试在特定订阅中创建HDInsight群集。现在，我选择的默认存储类型是ADLS Gen2类型，并且存储实例存在于同一订阅中。这里的UI将只列出同一订阅中的ADLS Gen2存储帐户。然后，正如您在下面的屏幕截图中所看到的，UI还要求将用户分配的服务标识作为必填字段。我不明白这个身份的真正需要。由于群集和ADLS Gen2将在同一订阅中，因此群集无论如何都可以访问存储—因为，发生这种情况的方式是，在群集部署期间，存储密钥将动态获取，因为它们在同一订阅中。这就是存储连接的方式。因此，如果这种

我正试图请求用户对“IMAP.AccessAsUser.All”权限的同意，以便我的应用程序可以通过OAuth2访问用户的收件箱 但是当我请求许可时，我得到了以下错误。请参阅所附图片 应用程序请求的作用域“IMAP.AccessAsUser.All”在资源上不存在 下面是同意链接的url。是否有人可以帮助我如何获得此权限“IMAP.accessUser.All”的同意 我可以复制你的问题，你需要添加API权限如下 导航到门户中的Azure Active Directory->应用程序注册，找到您

我们正在将大约10000个邮箱（邮件帐户）从on-prem迁移到云。在迁移过程中，是否有任何方法可以在GetUsers（）graph api调用中过滤掉未迁移的邮箱，以便我们只能为迁移的邮箱运行备份。 用户对象是否有任何属性，我们可以根据这些属性筛选内部邮箱？还是其他方式？ 我们使用的是v1版本的microsoft graph api。邮箱是指邮件帐户吗？有一些onPrem自定义属性可以添加到用户。但它们仅在Graph API的测试版中可用。请用邮箱勾选“是”，我指的是邮箱账户。我们使用的是v1

我正在尝试使用Azure AAD作为提供程序来保护vault UI和命令行登录。我正在按照文档进行操作，但在结束时显示以下错误消息： Token verification failed. error validating signature: failed to verify signature: failed to verify id token signature 下面是我设置auth方法所遵循的步骤 创建了Azure应用程序注册，允许我重定向URL 我拥有Microsoft Gra

我正试着用邮递员，用 能够获取userAccessToken 当我使用“团队->团队成员”获取请求-{{TeamId}}/Members时，我得到以下错误： { “错误”：{ “代码”：“授权请求被拒绝”， “消息”：“权限不足，无法完成操作。”， “内部错误”：{ “请求id”：“422d9233-909a-43fd-bc2b-161f3dda9f7a”， “日期”：“2020-03-05T09:09:55” } } }你需要在azure add中将权限添加到你的应用程序中，权限是User.

我已通过企业应用程序刀片中的门户在Azure AD中创建了注册 然后我切换到应用程序注册刀片->身份验证，并将应用程序设置为多租户 接下来，我切换回企业刀片->单点登录，并设置SAML配置以指向我们的SAML2 SP（Shibboleth） 但是，当我尝试使用来自外国租户的用户登录到我们的服务时，我收到一个错误，提示“请将用户添加为来宾” 这是因为Azure AD生成的IdP元数据中的SingleSignOnService是错误的。它指向特定于租户的端点（https://login.micros

我想将应用程序从我的桌面应用程序注册到Azure AD，我的桌面应用程序正在使用Microsoft Graph API 如何在Azure portal中注册AD中的应用程序而无需手动干预？这非常简单，您只需调用graph api，还可以在创建应用程序时在请求正文中设置应用程序的名称 您可以使用直接调用api，这要求您具有Application.ReadWrite.All权限 如果使用Azure资源管理器API（AzureRM API），也可以创建应用程序注册。有一个端点，您可以在其中应用应用程序