问题描述
我为我们员工的跨平台 (Xamarin.Forms) 移动应用程序创建了 Azure AD 应用程序注册。应用注册设置为作为单租户应用运行,为了正常运行,我们为 Microsoft Graph 指定了许多权限,例如“openid”、“profile”和“User.Read”,它们具有已获得我们管理员的管理员同意。该应用使用代理身份验证(使用 ADAL),以便通过已在每个用户的设备上安装和设置的 Intune 公司门户应用将用户登录到该应用。
直到最近,一切正常,直到我们需要为应用注册添加新的 Microsoft Graph 权限,即“Group.Read.All”。因此,我们将新权限添加到我们的应用注册中作为委派权限,并让我们的管理员为所有用户提供管理员同意。
在同意新权限后,我们的用户无法登录该应用,因为 Intune 公司门户应用没有让用户登录该应用,而是建议他们通过安装和设置设备上的 Intune 公司门户应用 (?!)。
正如我之前提到的,这些设备已经在其设备上安装并正确设置了 Intune 公司门户 2 年多。
于是,我们想到了检查用户的用户登录,找出问题所在,发现一个失败事件记录了登录错误代码530003(由于条件访问策略,访问已被阻止。)其中显示策略“访问策略:需要设备注册才能从手持设备访问 EOL 和 Sharepoint”失败,原因是“需要兼容设备”(在“授权控制”列下) .
一旦我们从应用注册中撤消了新添加的权限“Group.Read.All”,我们的用户就可以成功登录应用。
当我们尝试添加 Directory.Read.All 和 GroupMember.Read.All 等其他权限时,我们通过 Intune 公司门户的登录流程没有任何问题。
能否请您告知“Group.Read.All”权限有何特别之处,该权限会引发 Azure 登录错误代码 530003,迫使 Intune 公司门户应用程序要求用户设置(已设置)在他们可以登录我们的应用之前?
我对这个已经无能为力了。 有什么想法吗?