或者keyCredentials为空可以吗？ 也许第一步是哪里出了问题，但还不确定 预期结果：应用程序清单在keyCredentials中具有证书机密，因此应用程序可以执行所述的标记化身份验证 实际结果：keyCredentials为空 步骤1：通过运行以下命令在AD中创建应用程序： $azureAdApplication=New-AzureADApplication -DisplayName "SetupTest1008" -HomePage "http://www.SetupTest8.co

我们正在实施Azure广告B2C，其中一部分是定制品牌 当您选择Google+（或LinkedIn）并登录时，当使用默认品牌页面时，您将被重定向到包含来自Google的电子邮件和姓名信息的页面。 （注册政策，社会帐户注册页面） 如中所述创建自定义页面时，不会显示来自提供程序的数据 我们需要在html页面中更改哪些内容才能获得这些数据？当我在Google+中完成关于添加朋友和/或兴趣的向导时，名称取自Google+帐户 我们需要下面的元素（尽管不是所有的html都使用这个元素）。 当我在Googl

我正在将一个拥有Hotmail帐户的用户添加到Visual Studio团队服务（曾经是Visual Studio Online） 首先我将他添加到Azure Active Directory，然后我将他添加到VisualStudio团队服务中的团队 当我打开一个待办事项，并尝试使用团队服务“在电子邮件中发送工作项”功能通过电子邮件发送给他时，我会遇到以下错误： “无法向以下收件人发送邮件：abc@hotmail.com首选电子邮件地址未在用户配置文件中配置。“ 为什么它不直接使用Hotmail

我正在我的应用程序中集成Azure AD登录。我想在成功登录azure ad后重定向到特定操作。我的Startup.Auth.cs文件中有以下代码。但它不是重定向到重定向URI。任何人都可以建议我如何在成功登录后重定向到自定义页面 public static void ConfigureAuth(IAppBuilder app) { app.UseKentorOwinCookieSaver(); app.UseCookieAuthe

我使用identity Server设置了自己的身份授权 我正在运行一个本机windows应用程序，目前正在使用library连接授权并获取令牌 我想添加对Azure AD的支持，由于我无法在Azure AD上设置应用程序以使用HybridWithProofKeyflow，因此发现了这一点，我决定尝试一下 在MSAL中，有一个PublicClientApplication类在其构造函数（）中接受字符串权限 当在这个构造函数中传递我的URL时，我想象它会使用发现服务并找到正确的端点和它的作业。但令

通过用户界面，我指的是 似乎找不到如何以编程方式检索“危险登录”报告。嗯，我可以从AAD图形API（而不是Microsoft图形）中找到 这是否已经包含在Microsoft Graph中（我没有找到）？或者去别的地方 Office 365管理API上的Activity Feed似乎包含原始数据，通过这些原始数据，我又一次发现了一些我没想到会发现的数据。我相信您要查找的其他调用是GEThttps://graph.microsoft.com/beta/identityRiskEvents。响应包括一

我最近使用位于apps.dev.Microsoft.com的新Microsoft注册门户注册了一个应用程序，一切都很好 然而，我担心这项注册与我的个人帐户有关。我想将这些应用注册的权限授予我团队的其他成员。这可能吗？这听起来像是当您登录应用注册门户时，您使用了您的个人Microsoft帐户，该帐户仅与您的个人帐户关联 你可以做你想做的事，但你必须使用“工作或学校”组织帐户（即Azure AD）重新注册你的应用程序，然后你可以将组织中的其他用户添加为应用程序的其他“所有者” 使用您的工作或学校帐户

我有一些自定义属性配置为与本地Active Directory同步。这些属性正在正确同步，可以通过以下对Microsoft Graph的调用进行访问 https://graph.microsoft.com/v1.0/users?$select=id、displayName、givenName、姓氏、邮件、职务、部门、公司名称、手机、商务电话、办公地点、账户启用、分机电话、分机电话 { “id”：“， “accountEnabled”：正确， “商务电话”：[]， “公司名称”：“Foobar”，

是否可以从c启用/禁用外部访问pr 365组。我可以看到某些PowerShell cmd有一个名为AllowGuestsUsers的属性，但我在Microsoft Graph或类似文件中找不到任何内容？这些设置由Microsoft Graph管理。可以在租户范围内设置影响所有组的设置，也可以为仅影响该组的特定组设置这些设置 以下是使用的几个示例，以说明如何更改这些设置： 禁用来宾用户访问Office 365组 下面的示例更新Office 365组中来宾用户的租户范围设置，以禁用添加来宾用户，并禁

我正在构建一个工具，可以同时针对prem Active Directory和Azure AD，其中包括搜索用户对象 对于on-prem，我可以使用不明确的名称解析和如下查询执行LDAP搜索： (anr=searchstring*) Microsoft Graph是否有等效的筛选器字符串？与{string}*等效的是startsWith（{property}，{string}'）： 请注意，Microsoft Graph当前仅支持AAD筛选器，尤其是在涉及AAD筛选器时： Azure AD资源不

我们有一个自定义邀请流，它在id\u token\u hint参数中接收JWT，并从中提取电子邮件地址。 JWT已过期，当用户单击过期链接时，他将被重定向到登录页面。 我不想将用户重定向到登录页面，而是想截获应用程序中从邀请页面返回的错误代码（使用MSAL.js）并显示错误消息。 但我的应用程序从邀请页面收到的唯一形式的“错误代码”是： AADB2C90208:提供的id_token_提示参数已过期。请提供另一个令牌，然后重试。 相关ID:e49dbe44-fc02-4379-86e5-12a1

我们有一个与Azure服务管理API（Management.Azure.com）对话的应用程序，可以在API管理中自动上传API定义 作为身份验证方法，我们在Azure Active Directory中创建了一个“应用程序注册”，并分配了一个秘密。因此，我们使用该应用程序的客户端ID和密码。此方法描述如下： 使用MSAL检索令牌： private static async Task<string> GetAccesToken(AzureADApplicationCredentia

我一直在尝试为Azure AD B2C添加一个要连接的自定义策略，步骤如下 我用以下内容修改了Facebook的ClaimsProvider： autodesk.com AutodeskForge 锻造 https://developer.api.autodesk.com/authentication/v1/authorize https://developer.api.autodesk.com/authentication/v1/gettoken https://developer.api.

我们正在ASP.Net MVC和Web API中构建应用程序，这些应用程序使用OAuth 2的一系列功能—AcquireTokenByAuthorizationCode（使用microsoft.identity.Web）、AcquireTokenUnsilent、AcquireTokenOnBehalfOf、AcquireTokenForClient，用于应用程序环境的不同部分 这些应用程序使用MSAL.Net与Azure AD和其中设置的用户进行交互，以提供对资源的访问，并且工作正常 我们现在

以下是我尝试过的： https://graph.microsoft.com/v1.0/sites/{SiteID}/lists/{ListID}/items&filter=startswith(fields/Title,'Annette') 然而，我得到了以下错误 "message": "Bad Request - Error in query syntax.", 如何从Sharepoint列表中获取用户配置文件，该列表在items关键字后以“Annette”Append“？”符号开

我的目标是创建一个本地帐户，如michele@gmail.com，在Azure Active Directory B2C中 我想使用自己的UI，所以我开始研究如何实现API。经过一些研究，看起来最好的方法应该是通过MicrosoftGraph 我从以下内容开始，并正确创建了一个应用程序，不确定是否需要选择第三个选项，但看起来更广泛： 更新了以下权限@Tony Ju屏幕截图： 然后我创建了客户机密，并编写了自己的密码 const{AuthenticationContext}=require'ada

我可以禁用Azure AD B2C内页面上的缓存吗 有时我不得不通过Inspect（在边缘）强制重新加载和禁用缓存，因为我的脚本没有更新。（从注释移动到回答） 我们建议您清除浏览器缓存。如果您使用的是自定义UI，则可以在HTML标记中添加data preload=“true”属性，以控制CSS和JavaScript的加载顺序。有关详细信息，请查看。我们建议您清除浏览器缓存。如果您使用的是自定义UI，则可以在HTML标记中添加data preload=“true”属性，以控制CSS和JavaScr

我们刚刚有一位客户Acme请求他们能够创建自己的应用程序注册来代表我们的SaaS应用程序。到目前为止，我们自己管理应用程序注册，并有一个定义，然后与所有客户共享 他们提出这一要求有几个原因： 他们想给应用程序另起一个名字，以匹配其内部命名约定 他们希望将应用程序的URL从app.product.com更改为acme.product.com，这样他们就可以在应用程序库中单击该应用程序并直接转到他们的实例，而不是手动浏览acme.product.com 这些都是合理的要求，我明白，但如果每个客户都有

我希望使用自定义策略创建的AAD B2C登录流在默认情况下显示密码帮助器文本，以便用户在必须键入不够安全的密码之前预先知道密码要求。是否可以不向注册表注入自定义html元素 这是密码声明类型定义： <ClaimType Id="newPassword"> <DisplayName>New Password</DisplayName> <DataType>string</DataTy

我正在构建一个使用MicrosoftGraphAPI的内部会议室应用程序，我想用模式扩展来扩展事件对象 文件： 但是，当运行查询以注册新架构扩展时，我收到以下HTTP响应： { "url": "https://graph.microsoft.com/beta/schemaExtensions", "status": "403 Forbidden", "headers": { "request-id": "e1e36210-6c4c-4ed8-afb

下面是我在Azure广告中邀请用户的代码 我收到一个“未经授权”的回复。我不确定缺少什么权限/设置。有人有这个想法吗 string accessToken=wait AuthenticationHelper.GetTokenForApplication（）； InvitationModel invite=新的InvitationModel（）； invite.invitedUserEmailAddress=user.Email； invite.inviteRedirectUrl=Configur

用户如何使用Microsoft Graph client重置密码。 我找不到做这件事的正确方法。 谢谢 用户如何使用Microsoft Graph client重置密码 不幸的是，我们目前无法使用Microsoft Graph client重置密码。根据Microsoft图表，我们需要使用委派的：目录.AccessAsUser.All 更新passwordProfile属性时，需要以下权限：Directory.AccessAsUser.All。 委托权限由存在登录用户的应用程序使用。对于这些应用

我正在使用Microsoft Graph中的安全API编写一个web应用程序，我正在使用Azure AD进行身份验证，但是访问API所需的权限需要使用我的应用程序的每个租户的管理员同意 如何检查租户管理员是否同意我的应用程序？这样我就知道是将用户发送到常规登录流还是发送到管理员同意流 是否可以通过REST呼叫Azure AD获取此信息？我尝试过使用，但这似乎只适用于对象ID，我只有我的应用程序/客户端ID 编辑： 我对我的应用程序中需要哪些作用域感到困惑，但事实证明，当我添加管理员时，只需授予权

我已经在Azure AD中创建了一个B2C目录。它在创建目录时将我的广告用户从主目录添加到该目录。我已将其配置为使用注册登录策略，该策略似乎有效，因为我能够创建一个帐户，并在创建帐户时将其记录下来。据我所知，创建目录的帐户被视为目录的所有者，并被标识为任何其他用户。对吗？无论如何，我认为我可以作为该用户登录，但它甚至找不到帐户。创建Azure AD B2C租户的初始用户通过全局管理员角色与Azure AD B2C目录关联为来宾用户 全局管理员用户可以管理Azure AD B2C目录、策略和其他A

我转到Azure门户->Active Directory->应用程序注册来创建一个应用程序。我对微软图形API和Azure active directory API几乎没有授予什么权限 然后我尝试从Azure租户检索用户。我正在使用graph API检索用户。PFB是我正在使用的URL 当我尝试上面的URL时，我得到了403：禁止的错误。我知道这个错误是由于应用程序的权限（上面创建的） 请让我知道我需要授予应用程序的所有权限。您的应用程序需要一个名为目录的Microsoft Graph所需权限

我正在看文件 我想了解一个应用可以注册多少用户。我们的系统有2000多个用户，我们希望为每个用户建立一个webhook订阅 这是有记录的 最大订阅配额： 每个应用程序：总订阅数为50000 每个租户：所有应用程序的总订阅数为35 每个应用程序和租户组合：共7个订阅 限制取决于您订阅的资源类型 例如，如果您订阅/users或/groups，则存在限制。 请注意，您可能需要每个租户进行一次订阅，以跟踪对所有用户/组的更改 如果您订阅的是/messages，则可以为每个用户邮箱创建订阅。说明：这些限

我想知道在什么情况下刷新令牌会导致刷新令牌被撤销。 Microsoft帐户正在更改其密码？在用户帐户上多次无效登录尝试？有不同的原因，您可以参考 您可以在这里找到问题的答案，我想：

我正在通过自定义策略为b2c设置联盟登录。我已经创建了office365应用程序，它与azure中向导设置的策略一起工作，但现在我需要自定义策略。 我使用msal.js和angular作为前端，它重定向到我的策略。登录/注册工作正常。 我需要对来自其他联合会的用户进行身份验证 我试过了。我复制粘贴了UserTravely中提供的策略，但仍然得到一个错误 <ClaimsProvider> <Domain>mydomain.onmicrosoft.com</Doma

我正在尝试在团队中开发一个应用程序，帮助团队所有者邀请外部客人加入他们的团队。该应用程序在后端使用graph api/邀请调用来完成任务。我们正在限制可以邀请来宾的用户，方法是将User.invite.All api权限分配给他们，使他们可以在AD App registration blade下的Azure portal中进行邀请。我们发现，即使未被分配此权限的用户也可以邀请客人。我做错了什么吗？如果您将委派权限User.Invite.All授予应用程序，并且该用户能够邀请用户，则该用户已经拥有

Azure cli提供指定服务器应用程序凭据所需的参数。但是，powershell Az module cmdlet似乎只接受客户端应用程序凭据以与Azure AD集成 我们将非常感谢您提供与此相关的任何信息。这是真的，这里没有人能帮助您。您可以在上提交问题

是否有办法通过Microsoft Identity platform同时包含登录和同意提示 这些文档没有明确提到对多个提示值的支持： 我尝试使用空格分隔的登录和同意值执行此PowerShell脚本。空间编码为“%20”，例如提示符=登录%20 $clientId=“MyClientId 启动过程“https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=$clientId&scope=openid%20配置

为了自动化Azure Digital Twins实例的维护，我们需要服务到服务API访问，以便我们可以使用Azure中间层选项作为守护程序应用程序运行（例如逻辑应用程序或函数） 但是，在Azure Active Directory中注册应用程序时，Azure Digital Twins“预览”API（资源id:0b07f429-9f4b-4714-9392-cc5e8e80c8b0）不支持应用程序权限（仅授权权限）。但是，相关的Microsoft Graph API（资源id:00000003-

哪些权限、操作。。。我必须添加到要在Graph Explorer me/calendars query？下显示的共享日历中，我需要通过此查询将日历显示在Graph Explorer上： GET https://graph.microsoft.com/v1.0/me/calendars 似乎您正在尝试使用Microsoft Graph检索日历，您应该在azure门户上拥有应用程序权限 应用权限： 如何在azure门户网站上执行： 测试响应： 有关更多详细信息，请参阅我们已解决的问题，问题是

我正在尝试创建一个terraform脚本，它将在Azure AD中注册一个应用程序 我成功地生成了一个只从Microsoft Graph作用域读取的脚本。但我很难弄清楚在BusinessCentral（云版本）中这些作用域的等价物是什么 对于Microsoft Graph，我拥有以下权限： 电子邮件 脱机访问 openid 侧面图 Financials.ReadWrite.All 用户阅读 我在terraform中这样读它们： provider "azuread" {

我已在现有应用程序中包括SSO（SAML）授权。但对于我来说，发现只有两种类型的用户可以通过我添加的提供商（Okta、Azure AD）使用登录是一个令人不快的惊喜： 位于提供商的公司目录中的用户（例如，我在我的帐户上创建了一个应用程序，没有更多 用户。这意味着任何其他用户将无法使用 登录表单，因为他不是我的租户的成员） 公司的第三方用户，其管理员已添加 我的应用程序模板从常规列表中删除并连接 用户可以使用它 我期待其他结果，我需要任何用户能够通过这些提供商登录（无论他是在公司目录中还是拥有

我有一个Web API，需要代表用户调用Microsoft Graph API。我正在使用描述的海外建筑运营管理局流程 要获取访问令牌，我将发布到 POST - https://login.microsoftonline.com/<my-tenant-id>/oauth2/v2.0/token grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer &client_id=<my-client-id> &

我正在尝试通过microsoft graph API将用户分配到许可证。就像在azure上一样 现在多亏了ChromeDevTools，我发现调用了以下api来获取这些信息 不幸的是，尝试访问此api时遇到了麻烦，并且绝对不适合生产 我想知道是否有一种类似的方法可以通过graph api实现 https://graph.microsoft.com/beta/users?$select=id,displayName,assignedLicenses,assignedPlans 您可以通过提

我正在尝试为部署在websphere中的应用程序设置saml sso配置 Idp-Azure广告 SP—部署目标应用程序时的Websphere application server 按照Ibm文档完成TAI配置。但当我从idp点击测试按钮时，我可以在网络选项卡中看到saml响应。但我无法登录到我的应用程序，也没有在日志文件中获得任何与saml相关的跟踪，不过我在疑难解答中为saml启用了日志。我的疑问是，有时我会在服务器停止期间得到与TAI相关的跟踪。对于每个请求，我是否应该获得TAI跟踪？为什

我试图使用AAD Graph API根据Azure网站中的一个用户的microsoft电子邮件Id（v-Id）解析该用户。请提供此RamLaki的任何示例或URL-查看Github上AzureADSamples组织中的Graph API示例：。我相信WebApp GraphAPI DotNet和/或ConsoleApp GraphAPI DotNet C#示例演示了通过UPN/电子邮件检索用户。Graph API文档有关于用户实体和可过滤属性的详细信息：实际上我也提到了这一点，它解决了我的问题。

Facebook应用程序平台支持——在需要资源时，可以编写应用程序请求用户同意。例如，一个应用程序可能一直都想要public\u profile，但对于某些功能，该应用程序还需要user\u birth。该应用程序的创建方式可以使其在安装后立即提示用户同意public\u profile，但仅在用户实际使用所需功能时才提示用户同意user\u birth。如果用户从未使用过该功能，应用程序将不会提示用户访问user\u birth的权限。权限是逐渐授予用户资源的，并且仅在需要时授予，因此称为“逐

我有一个可以工作的Identity Server应用程序，我正在将其设置为与Azure AD一起工作。我已经注册了Azure AD应用程序，可以正确地对其进行身份验证 查看并尝试执行类似于存储与用户关联的第三方用户ID的操作，但我没有从AAD获得sub或nameIdentifier声明 我需要向AzureAD索要这些吗他们的文档似乎在说“sub”索赔已经（或至少可以）返回：。这篇文章似乎说sub并没有返回，但它是针对多租户应用程序的，所以我不太确定这是否相关 我肯定我遗漏了一些简单的东西，但在谷

我们有几个asp.net应用程序，每个应用程序都有自己的用户表和数据库。每个应用程序都有自己的登录/重置密码等。我们的用户来自不同的公司，因此用户是该公司的员工 现在我们想使用一个中央身份提供者，让它完成所有的身份验证和授权工作 我们可以使用Azure AD/Azure AD B2B/Azure AD B2C来实现我们的目标吗 我们有数千名来自这些公司的用户，其中大多数没有自己的广告或Azure广告。我们需要将现有用户从我们自己的用户表批量迁移到Azure广告（如果使用b2c，则向他们发送邀请）

我的网络管理员给了我一个“应用程序帐户”，这样我就可以编写一个使用MS Graph的Java程序。我想使用此帐户的图形浏览器来测试此帐户 管理员注册了一个应用程序，并给了我： 客户ID、租户ID、客户机密 这些权利： 应用程序：Calendars.ReadWrite 委托：UserRead 。。。从Azure网页上他也给了我这个。 我可以在图形浏览器中使用此帐户吗？怎么做？ 谢谢 图形浏览器使用委托权限，而不是应用程序权限 不过，您应该可以使用邮递员收藏。 好的。。。但是，如果我正确理解委

Microsoft Graph无法访问任何driveItem对象（即GET/me/drive/root/children） 我正在开发一个概念验证web应用程序，它（除其他外）可以从经过身份验证的用户处访问一些Excel工作簿（在SharePoint或OneDrive上） 它基于Microsoft教程[Build Node.js Express apps with Microsoft Graph]，适用于大多数Ms Graph方面。 -最终用户的Azure AD身份验证（） -在AAD门户中注册

我无法使用从以前的调用中检索到的增量链接获取已删除的用户 说明： 我使用查询检索组 它将正确返回结果 然后我保持三角链接 （JSON响应中的增量链接示例：“@odata.deltaLink”：https://graph.microsoft.com/v1.0/groups/delta?$deltatoken=7VBZ66f3HT… ) 我手动删除属于某个组的用户，以确保增量链接正常工作并返回删除的用户id ->完全不返回任何内容 根据他们的文件，它应该能够： 此外，当我对delta用户查询执行

您好，谢谢您的阅读 我们拥有Office 365用户和许可证，最近已迁移到Azure。我们想把这些连接起来 我已经创建了一个域控制器，但不确定如何在中添加现有域 我尝试了Azure AD Connect，但它要求“AD域服务管理员”，我们没有。我们根本没有内部广告，我们想在云端重新开始 任何信息都将不胜感激 谢谢如果您拥有Office 365许可证，则默认情况下您将拥有服务。 如果您没有任何本地域，则不需要Azure AD connect。 Azure AD connect用于将用户从on-pr

我有一个包含多个嵌套组的组。如果从嵌套组中删除/添加了用户，并且我已在父组上订阅了更改通知，那么我仍然会收到带有增量成员的通知 我在下面给出了我的场景示例： TestParentGroup ChildGroup-1 User 1 User 2 ChildGroup-2 User 3 User 4 更改通知在TestParentGroup上订阅。如果我删除用户4并将一个新组添加到ChildGroup-2，我是否会收到增量成员的通

“错误”：“无效的请求”，“错误描述”：“AADSTS900144:请求正文必须包含以下参数：'授予类型'”。 这是我在将客户端令牌交换为服务器端令牌时遇到的错误。 我给予了所有额外的同意 这是我请求同意的机构 根据您的错误消息，我猜这应该是由于您没有正确设置请求参数造成的。您应该将请求参数放在请求正文中 如果您使用的是ClientID和ClientSecret，则您的授权类型值将是客户端凭据。您是如何请求的，能否提供代码？您引用的是哪些文档？能否分享更多详细信息？ client_i

上的文档（示例2）说明了在创建团队时指定所有者的步骤owners@odata.bind'属性应添加到帖子中 该示例显示了以下内容的主体： POST https://graph.microsoft.com/v1.0/teams Content-Type: application/json { "template@odata.bind": "https://graph.microsoft.com/v1.0/teamsTemplates('standard')&qu

我正在将Azure B2C实现到.NET MVC应用程序中，我需要向登录url添加一个额外的查询参数 下面是我如何在startup.cs中设置它的 var openIdConnectAuthenticationOptions = new OpenIdConnectAuthenticationOptions { // Generate the metadata address using the tenant and policy infor