Microsoft Graph 工具包中的权限
本文总结了 Microsoft Graph 工具包如何管理权限以及如何使用增量许可来减少用户摩擦。
本文中的信息适用于使用支持增量许可的提供程序;例如 MSAL2 提供程序。 使用其他提供程序时,应在配置提供程序或Microsoft Entra应用程序期间请求所有必需的权限。
向 Microsoft Graph 发出的请求需要包含某些权限声明(有时称为 作用域)的访问令牌来授权请求。 对于工具包发出的 Microsoft Graph 请求,用户必须具有包含多个权限之一的令牌。 例如,若要查询 用户列表,用户必须具有以下权限之一: User.ReadBasic.All
、 User.Read.All
、 User.ReadWrite.All
、 Directory.Read.All
或 Directory.ReadWrite.All
。
在向 Microsoft Graph 发出请求之前,该工具包会根据用户的同意权限列表列表检查可用于给定请求的权限列表。 如果找到任何匹配的权限,则会发出请求。 如果未找到匹配项并启用增量同意,系统会提示用户同意给定请求所允许的最低权限。
此方法允许减少用户必须同意才能使应用程序正常运行的范围数。 可以使用配置 scopes
设置登录期间许可的权限,以减少在应用程序使用期间触发增量同意的次数。