Microsoft Graph for Office 365 - Azure AD应用程序权限

最新推荐文章于 2022-06-20 11:58:54 发布
最新推荐文章于 2022-06-20 11:58:54 发布
阅读量793 收藏
点赞数 1
分类专栏: Microsoft 365 Microsoft Graph Microsoft Graph 30天训练营中文版 文章标签: Microsoft Graph Office 365
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FoxDave/article/details/86571654
版权

博客地址:http://blog.csdn.net/FoxDave

前面两篇文章,我们介绍了基于Azure AD终结点创建应用程序。在本篇文章中,我们来看一下可用的权限以及如何将它们授予用户或Azure AD应用程序。
在这里插入图片描述

权限的类型

访问Microsoft Graph终结点需要发起请求的应用程序或用户被授予合适的权限。这些权限的类型可以是托管权限或应用程序权限。
在这里插入图片描述

托管的 (代理)
托管权限,需要在请求时一同提供用户上下文。事实上是应用程序以用户的名义在调用Microsoft Graph请求。因此,所需权限是用户和应用程序所拥有权限的集合体。
在请求时使用这两个有效权限中的交叉部分。如果应用程序被授予了权限而用户不具有该权限,那么应用程序就无法完成指定的请求。
如果我们对访问令牌进行解码,托管权限会以“scopes”的形式显示。判断权限是否分配并满足条件的第一步最好是检查访问令牌是否有合适的/期望的“scopes”。

应用程序 (app-only或没有用户)
应用程序权限,不需要用户上下文执行。这种权限的应用通常为后台运行的服务或无人值守应用程序。在请求Microsoft Graph时只判定授予应用程序的权限。
Azure AD的域管理员往往需要对应用程序权限的申请进行批准。Azure AD有一个叫做应用程序管理员的角色能够批准Azure AD应用程序的托管权限和除Microsoft Graph和Azure AD Graph之外的应用程序权限。虽然在Graph这个系列中不适合使用,但应该有所了解。更多信息可以访问
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#available-roles
如果我们对访问令牌进行解码,应用程序权限会以“roles"的形式显示。同样的,判断权限时先检查”roles“。

权限命名模式
Microsoft Graph中的所有权限都依照特定的模式有一个内部名称:

  • Resource.Operation.Constraint

例如:User.Read.All = 当前目录所有用户的读取权限。

Resource和Operation部分总是指定的,但Constraint是可选的用来定义服务/目录中的潜在范围。如果不列出Constraint,则应用到资源的权限为当前登录用户。

例如:User.Read = 当前登录用户的读取权限。

下图是Microsoft Graph中对既定场景的操作所需权限的示例,完整的以资源分组的权限列表请访问Microsoft Graph permissions reference
在这里插入图片描述
注意:所需权限应秉持最小权限原则。

练习

在这里插入图片描述

Justin-Liu
关注
专栏目录
在服务器端调用微软office接口,Office 365 服务通信 API 参考
weixin_36360511的博客
08-12 1780
Office 365 服务通信 API 参考2021/8/11本文内容重要Microsoft Graph 中的服务运行状况和通信 API 现已推出。 Microsoft Graph API 替换本文中所述的服务通信 API。 我们将从 2021 年 12 月 17 日开始停用旧版服务通信 API。 有关新 Microsoft Graph API 的详细信息,请参阅通过 Microsoft Grap...
视频教程-Microsoft Graph实战系列开发视频-云平台
weixin_27755013的博客
05-28 320
Microsoft Graph实战系列开发视频 世纪互联蓝云Office36...
Windows Office365 Azure AD Intune 配置
一直被模仿,从未被超越
06-20 927
office365 跟 AAD 相关操作
Microsoft Graph for Office 365 - V1版本终结点上的Azure AD应用程序(已停用)
01-28 572
博客地址:http://blog.csdn.net/FoxDave 上一篇文章我们讲述了如何使用V2版本的终结点注册Azure AD应用程序。本篇我们介绍V1版本的。 前面我们介绍了,V2是主流版本,也就是说只有在某些受限的情况下我们会需要使用V1版本。简单来说:“If you’re migrating or updating an application that relies on SAML,...
Microsoft Graph for Office 365 - 用例:通过Office 365组授予权限
05-20 854
博客地址:http://blog.csdn.net/FoxDave 本篇我们介绍通过将用户添加到联合组来向用户授予权限的操作。 向联合组中添加用户并验证权限 准备一个新用户或现有的某个用户,确保已向他分配了license,现在我们就可以将它添加到所需权限的各种组中。我们将演示如何将用户添加到Office 365联合组。 By virtue of being part of these group...
配置Office 365单点登录摘要
apple2025262的博客
06-27 192
O365: 如果O365账号之前做过测试,则停用同步,强制删除已有用户涉及命令:Remove-MsolUser -UserPrincipalName zhang_san@company.cn (-RemoveFromRecycleBin) AD: 搭建DC,创建单独的OU和User,供测试之用在AD域和信任关系中添加自有域名,如vobie.cn;并修改User的UPN为自有域名的格...
Office 365实现单点登录系列(4)—安装AD FS
weixin_30652271的博客
01-04 291
单一登录 (Single Sign-On)简而言之,就是让用户使用一套ID和密码,就可以登录一个或多个系统的授权机制。用户只需要通过其中一个应用的安全认证之后,再访问同一服务器其他应用的资源时不需要再次输入账户和密码。 我们已经使用Azure AD Connect进行了目录同步,为了实现单点登录,我们需要安装AD FS联合认证服务器。安全起见,一般情况下我们不会直接把AD FS暴露在公网,...
office365开发源代码
08-29
Office365 开发源代码主要涉及的是使用 Microsoft 提供的工具和技术来构建与 Office365 平台集成的应用程序。在这个场景中,“登录方式”通常指的是如何实现用户身份验证,以便用户能够安全地访问和操作 Office365 ...
GraphDriver:此存储库演示了如何使用图形API访问Office 365中的用户详细信息
02-15
总的来说,GraphDriver是一个极好的学习资源,它涵盖了使用C#和Microsoft Graph API进行云集成的基础知识,对于想要构建与Office 365交互的应用程序的开发者来说非常有用。通过实践这个项目,你可以深入了解OAuth ...
PyPI 官网下载 | python-msgraph-0.2.3.tar.gz
01-15
本篇将聚焦于一个特定的Python库——`python-msgraph-0.2.3`,这是一个用于与Microsoft Graph API交互的库,它为我们提供了方便的方式来访问和操作微软的各种服务,如Office 365Azure AD等。 首先,我们要理解...
配置Office 365单点登录过程中的一些注意事项
apple2025262的博客
06-24 209
这些天一直在整O365单点登录的问题,其中涉及到了很多知识点,其中以ADFS,CA为主吧,IIS为辅。下面我就把这些天积累的一些经验写下来备用。 1. 申请证书不一定要通过“证书颁发机构Web注册”,直接在mmc控制台即可进行,解决办法见《使用非Web方式从CA申请证书》。 2. CA服务器安装完后,默认只有部分证书模板处于可用状态,解决办法见《使用非Web方式从CA申请证书》。 ...
本地AD账户同步到Office 365(21V)Azure AD
weixin_33948416的博客
10-11 2878
本地我的AD域位corp.cn,而我对外的域名访问时basehome.com.cn,我申请了一个试用版的Office 365的账号,管理员账号为zhangjs@basehome.partner.onmschina.cn,Office 365 21V的登陆地址是https://portal.partner.microsoftonline.cn/接下来我要实现是把本地的AD账户同步到Office 36...
关于Office 365 Azure AD的账户同步研究
weixin_34321977的博客
12-18 1171
如果是纯云端的用户,那么我觉得没有什么问题,但如果有一天想把云端的Azure AD用户同步到本地的AD如何做呢?当然云端的Azure AD用户是无法同步到本地的AD的,但可以曲线救国实现类似的需求目标。接下来详细看看:假设我这有一个环境是纯云端的Office 365用户Azure AD) 域是basehome.com.cn 云端的这些用户密码都是统一的abc123!@#,都具备自己的Excha...
使用Azure上的Azure AD服务管理Office 365账户(无缝打通AzureOffice 365
热门推荐
accado的博客
11-22 1万+
Office 365的各个组件运行在Azure AD服务至上,但是在Office 365上面,对账户底层的访问,操作权限有限,整合Azure服务、Office 365、企业内部系统看上去会很困难。 通过这一篇我们,我们可以发现在Azure上面直接调用Office 365的目录服务,无需开发就可以达到Azure上面的应用,都可以访问并使用Office 365账户,只需要将Office
本地ASP.NET开发页面使用AzureAD(AAD)验证登录
weixin_33826268的博客
07-25 652
本地ASP.NET开发页面使用AzureAD(AAD)验证登录AzureOffice365已不是一个热门话题了,因为所谓的云时代已经走进了技术大师们的内心,大家多少有一定了解了,所以就不多介绍了,我的Blog中之前也写了很多关于AzureOffice365的相关文章,如果有兴趣的同学可以参考一下。一般企业内部如果使用了Azure或者Office365产品的话,都会跟本地的...
Office365上启用Skype For Business并实现本地AD用户登录
weixin_33720452的博客
12-08 612
Office365上启用Skype For Business并实现本地AD用户登录我们前面介绍了Office365与本地Exchange混合部署的配置介绍;我们都知道在Office365上可以配置Skype for Business、Sharepoint登服务,完成Office365与本地的混合部署的前提是需要配置本地Active Directory集成,在我们的试验环境介绍...
Office 365身份认证管理-添加并验证联合认证域
weixin_33842304的博客
10-03 731
首先需要安装MicrosoftOnlineServicesSign-inAssistant接受许可并安装安装完成接着安装WindowsAzureActiveDirectoryModuleforWindowsPowerShell安装程序启动接受许可设置安装路径开始安装安装完毕登陆并打开office365管理中心,选择添加一个域开始域添加向导输入我们准备好的公网域名确认我们对域名...
申请临时AzureOffice365账户注意事项
weixin_34220834的博客
09-18 279
申请临时AzureOffice365账户注意事项说到Office365的功能及应用,相信大家都非常熟悉了,所以就不多说了,今天我们主要说说申请Office365测试账户,登陆后无订阅的解决方法;我们是AzureOffice365在同一个账户域下使用的是同一套AAD(Azure Active Directory),这样一来的话,我们只需要注册一个账户,比如,我们如果想申请临...
本地ADOffice365进行账户同步
weixin_33786077的博客
04-25 1626
研究Office365已经有一段时间了,只是一直没有静下心来整理相关的内容。最近忙里偷闲,悄悄的整理了一些,暂且Share出来,就当是自己给自己的一种勉励吧!环境描述:本地ActiveDirectory:fashionba.intraOffice365账户:fashionba.onmicrosoft.com(默认域名,当然可以自己添加域名)在本地域内部署一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值