Microsoft Graph API 工作帐户通过 Note 授权。读取范围需要管理员批准答案

【问题标题】：Microsoft Graph API Work Accounts authorize with Note.Read scope need admin approvalMicrosoft Graph API 工作帐户通过 Note 授权。读取范围需要管理员批准
【发布时间】：2018-03-21 14:22:08
【问题描述】：

我正在尝试使用 Microsoft Graph API V2.0 访问用户的 OneNote 笔记本。

我正在尝试使用以下链接示例通过 OAuth 进行授权：

https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize?
    response_type=code
    &client_id={id}
    &redirect_uri={url}
    &scope=Notes.Read%20offline_access
    &state={state}

当我使用工作帐户登录时，我收到一条消息：

{app_name} 需要访问组织中只有管理员才能授予的资源的权限。请先让管理员授予此应用的权限，然后才能使用它。

还有：

消息：AADSTS90094：授权需要管理员权限。

使用管理员帐户我没有问题。

来自Notes permissions，没有任何备注范围（即Notes.Read、Notes.ReadWrite、Notes.Create 或Notes.ReadWriteAll）需要管理员同意。

是否有任何理由要求管理员权限？

【问题讨论】：

您能否为您的应用注册添加清单（您可以从 Azure 门户或 apps.dev.microsoft.com 获取，具体取决于您在哪里注册）？
您特别需要哪一部分？例如，我可以使用Files Permissions 进行授权
清单是您的应用注册的 JSON 表示形式（即您的 AppId、名称等）。您可以从 Azure 门户或 apps.dev.microsoft.com 获取它（取决于您在哪里注册应用程序）。
this够了吗？
无论您尝试针对哪个 AD 租户进行身份验证，都会发生这种情况吗？我想知道 AD 租户是否禁用了“用户可以同意应用代表他们访问公司数据”选项。

标签： azure-active-directory microsoft-graph-api onenote

【解决方案1】：

当 Azure AD 实例/租户禁用“用户可以同意应用代表他们访问公司数据”时会发生这种情况。这是 Azure AD 中的全局用户设置：

当此选项设置为No 时，将阻止用户执行User Consent 流程：

要解决此问题，管理员要么需要代表用户同意，要么需要重新启用用户同意选项（这是推荐的解决方案，完全关闭用户同意的合理理由很少）。

【讨论】：

感谢您的回复。我认为禁用该功能不是问题，因为Delegated Notes permissions 都不需要管理员同意。为什么它可以与https://login.microsoftonline.com/organizations/oauth2/authorize 端点一起使用？为什么只使用Files permissions 时这不是问题？
你是说这个 AppId 可以和https://login.microsoftonline.com/organizations/oauth2/authorize 一起工作，但不能和https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize 一起工作吗？还是您的意思是不同的 App Id？
抱歉，应用 ID 不同。与https://login.microsoftonline.com/organizations/oauth2/authorize 一起使用的那个不是v2.0 端点注册（可能在这里混淆）
在您自己的租户中使用 v1 注册的应用程序的行为会有所不同。这会阻止用户授权外部（多租户）应用程序，租户管理员创建的内部应用程序已获得授权。
好的，谢谢！最后一个问题，为什么Notes 需要Admin Permissions 而Files 不需要？

【解决方案2】：

我们写了一篇关于need admin approval issue 的详细文章，解决了最常见的情况。我怀疑该问题已在第一部分中得到解决，您的 IT 管理员需要允许用户请求访问权限。

【讨论】：