モバイルデバイスからの認証OpenID Connect/Azure ADはMicrosoft Graph APIと連携していません

Question

私はOpenID Connect認証/ ADALを使用してAzure ADでユーザーを認証するWebサイトを持っています。また、アプリケーションは、Microsoft Graph APIを使用して、ADのユーザーデータを取得します。

認証は、数か月前に実装されて以来、あらゆる種類のデバイスからうまく機能しています。

しかし、数週間前（正確には23日）に、モバイルデバイスからの認証は、コードの変更や社内インフラストラクチャの変更はありませんでしたが、突然動作が停止しました。私ConfigureAuth方法のAuthorizationCodeReceivedイベントハンドラで

、私はこの方法で認証結果をAQUIRE：

リソースはMicrosoftグラフAPIのURLである

var authenticationContext = new AuthenticationContext(settings.Authority); 
var authenticationResult = authenticationContext.AcquireTokenByAuthorizationCode(context.Code, new Uri(settings.RedirectUri), new ClientCredential(settings.ClientId, settings.ClientSecret), resource); 

。

はしかし、これまでに8月23日以来、AcquireTokenByAuthorizationCodeはメッセージとAdalServiceExceptionをスロー：

AADSTS50097：デバイス認証が必要です。

たとえば、AcquireTokenByAuthorizationCodeコールでリソースパラメータを省略するか、「https://graph.windows.net」に変更すると、モバイルデバイスからの認証は魅力的に機能します。しかし、私は明らかにMS Graph APIにアクセスすることはできません。

私はMS Graph APIにアクセスし、ユーザーがモバイルデバイスでログオンできるようにこれを解決する方法はありますか？

Answer 1

スリムの答えは正しいです。

企業管理者は、現在のところMicrosoft Graphにも適用されるExchange Onlineの条件付きアクセスポリシーを有効にしています。これは、mail/calendar以外のアーティファクトに対してMicrosoft Graphを使用するアプリケーションに影響を及ぼし、それらのデカップリングに取り組んでいることに気付いています。今後数ヶ月で変更が予定されています。ポリシーが緩和できるかどうかは、会社の管理者に確認してください。実行可能でない場合は、サポートチャネルに連絡して、ポリシー実施からMicrosoft Graphの除外をリクエストしてください。