我正在尝试使用委派权限访问“Microsoft Graph 命令行工具”。是否无法登录到 Entra/Azure 并手动添加我想要的图形权限,而不必等待其他用户或我自己使用该应用程序并请求运行该应用程序的权限,然后在发生之后允许?
例如,如果我知道我希望应用程序获得对 Policy.Read.IdentityProtection 之类的授权管理员同意(这是需要管理员同意的权限),那么我是否可以直接登录并将其添加到应用程序注册中?
我目前没有使用“管理员同意工作流程”,这意味着用户甚至无法请求访问需要管理员同意的权限,因此似乎我必须将 Policy.Read.IdentityProtection 添加到应用程序中的范围请求中,运行应用程序在以管理员身份进行身份验证时,然后在将其授予目录时同意该权限,然后应用程序会被标记为管理员同意权限,我可以在门户中看到它。
但是为什么我不能在门户中手动添加此权限,而不必从应用程序发出请求?或者我真的可以做到这一点但似乎不知道如何做吗?
委派权限意味着代码使用当前用户的安全上下文执行。这意味着它可以执行用户有权执行的任何操作,包括用户可能不想执行的操作。
用户必须通过对话框同意来表达对应用程序的信任,以便允许应用程序采用其身份。
这是为了用户和组织的保护,它已融入 Oauth 协议中,因此您将在整个互联网上看到该模式。