锁定用户对Azure Active Directory中目录的访问

Question

嗨，我们正在研究如何使用AAD作为B2B SaaS应用程序的身份提供者。

由于并非所有未来的应用程序用户都拥有Office 365/AAD帐户和租户，因此我们正在考虑将其创建为SingleTeant应用程序并为此目的在内部目录中供应用户（user1@ourappdir.onmicrosoft。 com等）。

但是据我可以计算，这将允许任何用户获得所有其他用户的列表，例如使用的图形API。

我可以以任何方式锁定下来，因此用户将只能看到信息约他/她的自我，而不是别的什么，不管他们如何努力。 （Portal，graphApi，powershell ...）

Answer 1

默认情况下，如果您使用Directory role中的用户帐户User来生成访问令牌并以图形形式请求资源，那么此令牌仅具有用户自己。

有两种可能的情况，允许您从图形中查看所有用户配置文件。

1. 您called Microsoft Graph in a service or daemon app
2. 你用来生成令牌处于administrator在租客角色的用户帐户。

你可以尝试使用用户帐户User作用继续测试。您可以参考https://docs.microsoft.com/en-us/azure/active-directory/active-directory-users-assign-role-azure-portal了解如何分配用户角色。