根据标题,我找不到任何可以明确提供信息的地方,而我最好的猜测是使用
https://graph.microsoft.com/v1.0/applications
并查看requiredResourceAccess,但这似乎未提供有关实际同意的信息。
是否仅在此处存在条目即可证明需要管理员同意,我会在没有添加权限的情况下猜测,甚至在授予同意之前,条目也会出现在requiredResourceAccess中,并且在授予权限时条目不会发生变化同意。
授予同意书后,可能会发生三件事:
(根据应用所需的权限,可能不需要#2或#3。)
那么,“哪些应用程序已获得管理员同意?” 可以等同于“存在哪些已授予租户级委托权限或仅应用程序权限的服务主体?”
GET https://graph.microsoft.com/v1.0/servicePrincipals
GET https://graph.microsoft.com/v1.0/oauth2PermissionGrants
?$filter=clientId eq {id} and consentType eq 'AllPrincipals'
GET https://graph.microsoft.com/v1.0/servicePrincipals/{id}/appRoleAssignments
要将授予的应用程序角色ID或委派的权限范围值映射到显示名称和描述,您可以在资源服务主体(即代表API的服务主体)上的appRoles和oauth2PermissionScopes集合中查找授予的应用程序角色。
这一切都可以使用Azure AD PowerShell完成,并包装到一个函数中以转出委派的和仅限应用程序的权限授予。这是一个示例:Get-AzureADPSPermissions.ps1
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句