使用相同应用程序的客户端 ID 和密码获取 Azure 应用程序所需的权限

Question

我已经执行的步骤，

1. 创建 Azure 应用程序

   • 创建了 Azure 应用程序
   • 创建了一个秘密
   • 创建了服务主体 注意：我没有添加任何额外的权限或同意。

2. 使用“客户端凭据流”（ClientId 和 ClientSecret）获取应用程序令牌

以下请求中使用的

ObjectId 与我在上面创建的应用程序相同。

1. GET https://graph.microsoft.com/v1.0/applications/{{objectId}}
   • 我能够获得“Azure 应用程序”。

但是，根据文档GET Application，我需要至少“Application.Read.All”权限才能获得应用程序。

同样， 4. 获取https://graph.microsoft.com/v1.0/servicePrincipals/{{objectId}} - 我可以得到“服务主体”。

但是，根据文档GET ServicePrincipal，我需要至少“Application.Read.All”权限才能获得应用程序。

问题
这是一种预期的行为，我能够获取我自己的 Azure 应用程序，而无需任何额外的权限。或者它是一些错误。因为我找不到任何支持这一点的文档。

Answer 1

如果您使用您创建的应用程序生成访问令牌，然后使用 objectId 搜索同一个应用程序，并使用服务主体 objectId 搜索与其关联的服务主体，那么您将不需要任何类型其他权限，即Application.Read.All/Directory.Read.All，因为您正在使用同一个应用程序的访问令牌来查找应用程序的详细信息。但是，当您使用该访问令牌搜索 Active Directory 中存在的其他应用程序时，您肯定需要文档中提到的权限之一，并且它没有访问目录或其他应用程序的权限。

示例：

创建了一个名为 Test 的应用注册，除了默认设置之外没有授予任何其他权限：

使用客户端凭据流尝试搜索我为其生成令牌的相同应用程序对象 ID 和服务主体对象 ID：

但是如果我尝试找到其他类似下面的应用程序，则使用相同的访问令牌会出错：

Answer 2

我在“微软问答”中提出了同样的问题。他们在各自的文档中添加了有关行为的 cmets。

参考资料： https://github.com/microsoftgraph/microsoft-graph-docs/issues/15880 https://github.com/microsoftgraph/microsoft-graph-docs/issues/15879