凡管理仅管理员MS图形权限通过申请登记门户

Question

注册我创建的应用程序注册门户网站的本地应用程序在https://apps.dev.microsoft.com

我已经配置了基于iOS版MSAL框架的Xcode项目，并且能够在仅需要用户的同意时使用MS Graph的数据（如User.ReadBasic.All）

但是，如果我想访问User.Read.All作用域，则它不起作用。我遇到了要求管理员授予访问权限（按预期），但我的管理员无法找到提供必要权限的位置。

当在webview“授权访问”屏幕（请参阅下面的屏幕截图）中提示输入管理员凭据时无法使用管理员凭据（重新导向到同一屏幕，看起来不接受管理员凭据作为管理员凭据）。

我们不知道这是否是授予应用程序的权限无论如何，因为文档不明确有关管理员如何授予必要的权限的方式。

我们无法在授予管理员权限的Azure AD中找到该位置。

有很多关于如何使用MSAL框架的文档，但似乎没有这一步。

Answer 1

将您的应用程序需要在应用程序注册门户的微软图形权限后，您可以手动在浏览器重定向到管理员同意端点请求管理员同意：

GET https://login.microsoftonline.com/{tenant}/adminconsent? 
client_id=6731de76-14a6-49ae-97bc-6eba6914391e 
&state=12345 
&redirect_uri=http://localhost/myapp/permissions 

请点击这里了解更多详细讲述admin consent endpoint 。

对于iOS，重定向网址需要与应用程序中注册的URL方案匹配，如果您在apps.dev.microsoft.com上创建应用程序时使用了引导安装程序，则该方案为msal {client-id}：// auth。只有当您将管理员同意端点置于安装该应用程序的手机的浏览器中时才有效，因为否则无法重定向。