3

我想从控制台应用程序定期访问 Microsoft Graph,以便将邮件从 Outlook 邮箱复制到数据库。为了以编程方式进行身份验证,我不得不使用 Microsoft Graph 的“客户端凭据流”。

这些是我必须采取的步骤:

  1. 在 Azure 门户中注册一个应用程序并为其创建一个客户端密码。
  2. 添加我需要的所有权限并授予他们访问权限:

    添加所需的权限并授予他们管理员访问权限

  3. 让管理员通过首次访问来确认这些权限。这是使用以下 URL 完成的:

    https://login.microsoftonline.com/{tenant}/v2.0/adminconsent
    ?client_id={app id}
    &state=1234
    &redirect_uri=https://login.microsoftonline.com/common/oauth2/nativeclient
    &scope=https://graph.microsoft.com/.default
    

    我收到以下回复:

    admin_consent: True
    tenant: ca566779-1e7b-48e8-b52b-68**********
    state: 12345
    scope**: scope: https://graph.microsoft.com/User.Read https://graph.microsoft.com/.default
    

    (范围可能会解释这里稍后描述的问题:为什么我只有User.Read在配置了 13 个不同的权限时才能得到??)

    使用管理员凭据确认权限

  4. 获取访问令牌(成功!):

    获得访问令牌

  5. 尝试阅读用户(成功):

    成功获取用户列表

  6. 尝试阅读我自己的电子邮件(没有成功):

    自己的电子邮件不走运

  7. 尝试阅读其他人的电子邮件(用户被邀请以访客身份访问应用程序,但仍然没有成功):

    没有运气尝试阅读客人的电子邮件

我不明白为什么我不能阅读消息,但我可以阅读用户。似乎权限被完全忽略了(我确认我不需要任何权限来读取用户)。

更新

这是我的租户名称:

在此处输入图像描述

这些是添加到租户的用户:

在此处输入图像描述

重要提示:我的 Azure AD 中没有 Office 365 订阅。所有这些电子邮件都属于不同的广告。

即使用户在用户端点上列出,上一个问题“租户 guid 的租户不存在”?与我的相似,但我相信这不是重复的,因为我的问题略有不同,并且建议的解决方案使用 OAuth1(我使用的是 OAuth2)。

4

3 回答 3

3

Microsoft Graph只能访问您已通过身份验证的租户内的数据。这意味着您无法访问来自其他租户的邮箱,即使该用户是您通过身份验证的租户中的来宾。允许这样做会违反 AAD/O365 租户中数据隔离的基本原则。

还需要注意的是,AAD/O365 和 Outlook.com 是不同的平台。Microsoft Graph 的核心价值支柱是跨 AAD 和 MSA 的通用 API 层,但在幕后,它们正在调用不同的后端。

除了数据隔离和这些不同的平台之外,Outlook.com 根本不支持应用程序权限(客户端凭据)。您只能使用委派权限访问 Outlook.com,甚至只支持一组有限的范围

并非所有权限都对 Microsoft 帐户和工作或学校帐户都有效。您可以检查每个权限组的 Microsoft 帐户支持列,以确定特定权限是否对 Microsoft 帐户、工作或学校帐户有效,或两者都有效。

关于包含哪些范围,我怀疑这里的问题是您在此租户中没有 O365 的许可证。如果它允许您在没有订阅的情况下同意,这可能(理论上)导致应用程序在/如果稍后添加订阅时意外地获得同意。也就是说,如果没有看到您要返回的实际令牌的示例,就很难说清楚(请随意张贴你们中的一个,希望我对此进行更多研究)。

最后,关于.juunas也是正确的/me。该/me段是“当前经过身份验证的用户”的别名。由于您在使用客户端凭据时没有对用户进行身份验证,/me因此有效null.

于 2019-12-04T17:50:55.593 回答
2

/me 不适用于客户端凭据令牌。/me 指的是什么?没有用户参与,所以它没有任何意义。

对于第二个问题,此用户在您的租户中是否有 Exchange Online 邮箱?

于 2019-11-27T19:31:46.430 回答
2

接受的答案是帮助我的答案。但是,我最终测试了加入测试所需的内容: Office 365 开发人员计划(免费)

该程序将允许您创建一个包含多达 25 个电子邮件帐户的 Azure Active Directory。它还允许您创建 16 个带有电子邮件的虚构电子邮件帐户(通过单击一个按钮)。您可以免费使用此基础架构 90 天。

于 2019-12-11T15:35:49.050 回答