azure-active-directory - azure Azure Active Directory 应用程序中的“授予管理员同意”按钮有什么作用？

我们已经配置了一个 azure Active Directory 应用程序，以便我们网站的用户可以通过他们的Microsoft 帐户登录。问题是，如果我们不授予管理员访问权限，那么登录应用程序将失败并显示错误代码AADSTS650056：

错误配置的应用程序。这可能是由于以下原因之一：客户端未在客户端应用程序注册的请求权限中列出“AAD Graph”的任何权限。

我们对单击“授予管理员同意”持怀疑态度，担心它可能会暴露任何漏洞。这是正确的方法吗？如果不是，有什么替代方案可以绕过这种同意？

标签： azure-active-directoryazure-ad-graph-api

每个应用程序都会注册它需要的权限。有些权限可以由用户授予，有些只能由管理员授予。

假设您只有用户可以同意的权限。当他们第一次使用该应用程序时，系统会提示他们（每个用户）同意该应用程序的这些权限。如果在同一场景中单击授予管理员同意，则相当于为租户上的所有用户接受它。

现在让我们假设应用程序注册了需要管理员同意的权限，如果您希望应用程序工作并能够请求令牌，您别无选择，只能单击该按钮。

这些需要管理员同意的权限是允许访问组织中更多或敏感数据的权限。