非管理员的图形 API 权限

我想向非管理员用户 Bob 授予一些 Graph API 权限，以便它能够读取一些数据without需要管理员同意。

If I give the admin consent here every permission is given to each user, but I want to give only a subset of permissions to Bob.

So I:

1. 注册一个新的应用程序
2. Set the Graph Explorer permissions I am interested in to the App (both as delegated and as application)
3. Granted administrator consent to such permissions
4. 将应用程序分配给 Bob

但是，在以 Bob 身份登录后，图形浏览器告诉我，我没有所需的权限（例如）列出组织中的所有用户。

非常感谢任何帮助！

我尝试在我的环境中重现相同的结果并得到以下结果：

我注册了一个 Azure AD 应用程序并授予了特定API permissions需要列出如下用户：

我创建了一个非管理员用户Bob并分配如下应用程序：

我尝试使用以下登录查询通过 Microsoft Graph Explorer 列出用户Bob并得到同样的错误：

Please note即使您在 Azure 门户中授予了管理员同意，它也不会反映在 Graph Explorer 中。因此，您必须在 Graph Explorer 中单独同意Bob.

转到修改权限 -> User.ReadBasic.All -> 同意 -> 接受

在授予同意后，我成功得到了回复，如下所示：

在你的场景中，如果Bob未经管理员同意无法请求它们，然后尝试修改设置，如下所示：

转到 Azure 门户 -> Azure Active Directory -> 企业应用程序 -> 同意和权限 -> 用户同意设置

确保根据查询在 Microsoft Graph Explorer 中授予同意，方法是单击修改权限选项卡。

参考：

同意和权限概述 |微软文档 https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/consent-and-permissions-overview