Azure AD同意来自不同的租户

时间:2017-12-07 21:08:10

标签: azure azure-active-directory microsoft-graph user-permissions azure-ad-graph-api

我正在尝试使用我们的多租户AD应用程序来访问用户的Onedrive for Business。但是当用户属于不同的租户时,我在同意某些权限时会一直出错。我不确定我需要设置哪些权限才能让任何365用户都可以。

我正在使用图形API权限和读取目录的AD。这是权限的样子。

申请权限

  • 读取所有网站集中的文件
  • 读取和写入所有网站集中的文件
  • 读写设备
  • 读取和写入目录数据 - 阅读目录数据

委派权限

  • 可以完全访问用户可以访问的所有文件
  • 阅读用户可以访问的所有文件
  • 拥有对用户文件的完全访问权限
  • 读取用户文件以登录用户身份访问目录
  • 读取和写入目录数据
  • 阅读目录数据登录并阅读用户个人资料
  • 读取和写入用户选择的文件(预览)
  • 读取用户选择的文件(预览)

enter image description here

1 个答案:

答案 0 :(得分:3)

其他租户的管理员必须首次同意该应用。

这是因为您使用的某些范围需要管理员同意。如果您仅限于不需要管理员同意的范围,那么普通用户通常应该能够直接同意您的应用。

有一点需要注意,其他租户中的管理员可以始终禁用最终用户同意,在这种情况下,他们总是需要管理员同意每个应用。