Azure Active Directoryのディレクトリへのロックダウンユーザ

Question

こんにちは、B2B SaaSアプリケーションのIDプロバイダとしてAADを使用しています。

今後、すべてのユーザーにOffice 365/AADアカウントとテナントが割り当てられるわけではないため、SingleTeantアプリケーションとして作成し、内部ディレクトリにユーザーをプロビジョニングします（user1@ourappdir.onmicrosoft）。 comなど）。

しかし、これまでにグラフapiを使用すると、どのユーザーも他のすべてのユーザーのリストを取得できるようになります。

私はこれを何らかの方法でロックすることができるので、ユーザーは自分の自己に関する情報を見ることができます。

Answer 1

デフォルトでは、Directory roleのユーザーアカウントをUserとして使用してアクセストークンを生成し、そのリソースをグラフで要求すると、このトークンにのみアクセス許可が与えられます。ユーザー自身。

グラフからすべてのユーザープロファイルを表示できる2つのケースが考えられます。あなたがトークンを生成するために使用される

1. あなたcalled Microsoft Graph in a service or daemon app
2. ユーザーアカウントは、テナントでadministratorの役割です。

あなたはテストを継続するUser役割にユーザーアカウントを使用しようとすることができます。ユーザーロールの割り当て方法については、https://docs.microsoft.com/en-us/azure/active-directory/active-directory-users-assign-role-azure-portalを参照してください。