管理者の同意があったかどうかを確認してください

Question

Graph APIを照会して、ディレクトリ管理者がアプリケーションの管理者の同意を得たかどうか、これがいつ実行されたかを確認できますか？

もしそうなら、これについてどうすればいいですか？

Answer 1

oauth2PermissionGrantsを照会する必要があります。それらを取得するには、アプリケーションのサービスプリンシパルのオブジェクトIDをターゲットディレクトリで知る必要があります。あなたがアプリのクライアントIDを知っているなら、それを得ることができます。例えば

私はAzureのADグラフAPIからhttps://graph.windows.net/<tenant id>/servicePrincipals/6e56b47c-4c6e-40f5-aa95-16a0b1cb44fc/oauth2PermissionGrantsを問い合わせる場合：

{ 
    "odata.metadata": "https://graph.windows.net/<tenant id>/$metadata#oauth2PermissionGrants", 
    "value": [ 
    { 
     "clientId": "6e56b47c-4c6e-40f5-aa95-16a0b1cb44fc", 
     "consentType": "AllPrincipals", 
     "expiryTime": "2017-12-19T09:25:32.3581755", 
     "objectId": "fLRWbm5M9UCqlRagsctE_M7PF6398j5LkfWqCoLpQBI", 
     "principalId": null, 
     "resourceId": "ad17cfce-f2fd-4b3e-91f5-aa0a82e94012", 
     "scope": "User.Read", 
     "startTime": "0001-01-01T00:00:00" 
    } 
    ] 
} 

あなたは、この特定のサービスプリンシパルがAllPrincipalsのためのAzure ADグラフAPIにUser.Readスコープを付与されている見ることができ、これは管理者の同意を意味します。個々のユーザーの同意があった場合、同意タイプはプリンシパルとなり、プリンシパルIDは同意したユーザーのIDに設定されます。

同意が与えられたときはわからないことに注意してください。