Azure Active Directoryアプリケーションで権限を取得する方法は？

Question

アプリ用のAPIをいくつか選択していますが、一部の権限には管理者が同意する必要がありますが、管理者にはどのように連絡しますか？これらのユーザーに連絡できるように、 "admin"という名前のユーザータイプがありますか？

Answer 1

テナントの管理者の連絡先を識別するための簡単な方法は現在ありません。しかし、プログラムで情報を取得するのは非常に簡単です。 http://www.cloudidentity.com/blog/2017/08/13/whos-your-admin/にいくつかのソースコードを入れた簡単なブログ記事を書きましたが、一言で言えば、https://graph.windows.net/myorganization/directoryRoles/{0}/membersが必要です。ここで、{0}はディレクトリ内の管理者ロールのobjectIDです。

Answer 2

アプリケーションのみのアクセス許可には常にテナントの管理者の同意が必要です。また、特定の委任されたアクセス許可にもテナントの管理者の同意が必要です。たとえば、サインインしたユーザーとしてAzure ADに書き戻す機能を使用するには、テナントの管理者の同意が必要です。

グローバル管理者の役割に属するアカウントで認証されたユーザーのみが同意することができます。他のユーザーはエラーを受け取ります。値がGlobal administratorある場合は、ユーザーアカウントがグローバルAdminロールに属している、ユーザーのDirectory roleをチェックすることもできます