Groups.ReadBasic.All 的替代方案 - 无需管理员同意即可访问组

Question

我有一个应用程序在未经管理员同意的情况下使用 Azure AD 访问 Microsoft Graph。

我想将 Office 365 组功能引入到我的应用程序中来管理应用程序对象的可见性。基本上，我需要在没有管理员同意的情况下使用委托范围做两件事：

• 用户必须能够查看租户中组的基本信息
• 检查当前用户是否属于给定组

我看到两种方法：

1. 等待Groups.ReadBasic.All

   事实上，Groups.Read.All确实需要管理员同意，因此现在不可能在我们的场景中使用它。那么我的问题是，Microsoft Graph 是否计划有这样的范围？

2. 将组管理功能仅限于管理员。

   我可以将组管理功能限制为管理员或等待管理员同意，但应用程序的其余部分必须仍然可用于非管理员同意工作流程。有办法实现这一点吗？

   我看到这种情况的唯一方法是在 Azure AD 中注册两个不同的应用程序：myApp和myApp - Extended Permissions。但是，我认为这不是为同一个逻辑应用程序提供两个 Azure AD 应用程序的正确方法。

Answer 1

#1 即将推出，但我现在无法给您具体的预计到达时间，但我希望它很快就能推出。那应该会给你你想要的东西。

在#2 上，这是可能的，我们称之为增量或动态同意的功能。它只能通过新的v2 身份验证端点使用。作为授权请求的一部分，您可以指定所需的权限范围， - 在后续请求中，您可以要求其他范围。但是，就您而言，您想要的附加范围是您希望管理员代表组织同意的范围。这还不太可能，但也即将实现。#1 和 #2 可能大约在同一时间着陆;)

当 #1 和 #2 可用时，我们将更新此线程。