问题描述
我为我们员工的跨平台 (Xamarin.Forms) 移动应用程序创建了 Azure AD 应用程序注册。应用注册设置为作为单租户应用运行,为了正常运行,我们为 Microsoft Graph 指定了许多权限,例如“openid”、“profile”和“User.Read”,它们具有已获得我们管理员的管理员同意。该应用使用代理身份验证(使用 ADAL),以便通过已在每个用户的设备上安装和设置的 Intune 公司门户应用将用户登录到该应用。
直到最近,一切正常,直到我们需要为应用注册添加新的 Microsoft Graph 权限,即“Group.Read.All”。因此,我们将新权限添加到我们的应用注册中作为委派权限,并让我们的管理员为所有用户提供管理员同意。
在同意新权限后,我们的用户无法登录该应用,因为 Intune 公司门户应用没有让用户登录该应用,而是建议他们通过安装和设置设备上的 Intune 公司门户应用 (?!)。
正如我之前提到的,这些设备已经在其设备上安装并正确设置了 Intune 公司门户 2 年多。
于是,我们想到了检查用户的用户登录,找出问题所在,发现一个失败事件记录了登录错误代码530003(由于条件访问策略,访问已被阻止。)其中显示策略“访问策略:需要设备注册才能从手持设备访问 EOL 和 Sharepoint”失败,原因是“需要兼容设备”(在“授权控制”列下) .
一旦我们从应用注册中撤消了新添加的权限“Group.Read.All”,我们的用户就可以成功登录应用。
当我们尝试添加 Directory.Read.All 和 GroupMember.Read.All 等其他权限时,我们通过 Intune 公司门户的登录流程没有任何问题。
能否请您告知“Group.Read.All”权限有何特别之处,该权限会引发 Azure 登录错误代码 530003,迫使 Intune 公司门户应用程序要求用户设置(已设置)在他们可以登录我们的应用之前?
我对这个已经无能为力了。 有什么想法吗?
解决方法
对我来说,由于涉及多方面的问题,无法重新提交您的问题。
最后可以尝试的一些建议 -
-
尝试隔离每个组件并利用图浏览器/邮递员进行 API 调用并观察行为。
-
我不需要添加图形权限,但根据您的用例,看看是否还有其他最低特权的权限可以完成您的工作,添加该权限并检查行为。
-
检查您的方案是否真的需要添加授权作为委派,这是否真的受支持? 例如,下图显示了获取组对象的属性和关系所需的权限。
- 如果问题仍然存在,请考虑针对您的特定情况联系 Microsoft 支持。
如果有帮助,请点赞。谢谢!