azure-active-directory - Groups.ReadBasic.All 的替代方案 - 无需管理员同意即可访问组

Question

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它.

1年前关闭。




Improve this question




我有一个使用 Azure AD 访问 Microsoft Graph 的应用程序，无需管理员同意。
我想将 Office 365 组功能引入我的应用程序，以管理我的应用程序对象的可见性。基本上，我需要使用没有管理员同意的委托(delegate)范围做两件事:

用户必须能够查看租户中组的基本信息

检查当前用户是否属于给定组

我看到两种方法:

等待Groups.ReadBasic.All确实，Groups.Read.All确实需要管理员同意，因此在我们的场景中现在无法使用它。那么我的问题是，是否为 Microsoft Graph 计划了这样的范围？

将群组管理功能限制为仅限管理员。
我可以将组管理功能限制为管理员或等待管理员同意，但应用程序的其余部分必须仍可用于非管理员同意工作流。有没有办法做到这一点？
我看到这一点的唯一方法是在 Azure AD 中注册两个不同的应用程序:myApp和 myApp - Extended Permissions .但是，我认为这不是为同一个逻辑应用程序使用两个 Azure AD 应用程序的正确方法。

Answer 1

#1 即将推出，但我现在不能给你一个具体的预计到达时间，但我希望它很快就会推出。那应该给你你所追求的。
在 #2 上，这是可能的，这是我们称之为增量或动态同意的功能。它只能通过新的 v2 authentication endpoint 获得.作为授权请求的一部分，您可以指定所需的权限范围， - 在后续请求中，您可以要求其他范围。但是，在您的情况下，您想要的附加范围是您希望管理员代表组织同意的范围。这还不太可能，但也即将推出。可能是＃1和＃2大约在同一时间降落；)
当 #1 和 #2 可用时，我们将更新此线程。