Accorder la permission users.read.all à tous les utilisateurs du domaine

Question

L'un des ingénieurs de Microsoft m'a dit que pour afficher le champ jobtitle, en utilisant la méthode users dans REST, j'ai besoin d'une autorisation d'administrateur. J'apprécierais que quelqu'un puisse répondre exactement aux étapes que l'administrateur du domaine doit suivre pour accorder à user.read.all la permission à tous les utilisateurs du domaine qui exécuteront la requête graphique. J'apprécierais que quelqu'un puisse fournir des instructions détaillées étape par étape.

Answer 1

Le lien de Dan s'est occupé du problème. Dans le lien, le lien de l'exemple ci-dessous était la réponse. Au lieu du mot "commun", je l'ai remplacé par l'ID de locataire comme indiqué ci-dessous:

https://login.microsoftonline.com/{tenant id from azure ad}/adminconsent? 
client_id={application client id} 
&state={can be anything. I used the same as the redirect url} 
&redirect_uri={URL that exactly appears in the app application portal} 

Answer 2

Pour user.read.all, vous devez obtenir le consentement administratif de l'organisation avant qu'un utilisateur régulier puisse se connecter à votre application.

Pour ce faire, vous devez d'abord passer par le flux de travail "Consentement Admin". Ce workflow nécessite un administrateur, mais une fois terminé, tous les utilisateurs de votre application auront un "consentement administrateur" pour la portée restreinte.

Par exemple, vous auriez normalement alors vous authentifier les utilisateurs en les redirigeant vers

https://login.microsoftonline.com/common/oauth2/authorize?<your params>.

Depuis cette envergure nécessite une administration, vous devez poing cependant obtenir le consentement par avoir d'abord un administrateur authentifie en redirigeant les à

https://login.microsoftonline.com/common/adminconsent?<yours params>.

une fois qu'une subvention Administrateur consentement, les utilisateurs normaux pourront utiliser OAuth pour authentifier.