我为我们的员工创建了一个跨平台 (Xamarin.Forms) 移动应用程序的 Azure AD 应用程序注册。应用注册设置为作为单租户应用运行,为了正常运行,我们为 Microsoft Graph 指定了许多权限,例如“openid”、“profile”和“User.Read”,它们具有已获得我们的管理员的管理员同意。该应用使用代理身份验证(使用 ADAL),以便通过已在每个用户的设备上安装和设置的 Intune 公司门户应用将用户登录到该应用。
直到最近,一切正常,直到我们需要为应用注册添加新的 Microsoft Graph 权限,即“Group.Read.All”。因此,我们将新权限添加到我们的应用注册中作为委托权限,并让我们的管理员为所有用户提供管理员同意。
同意新权限后,我们的用户无法登录应用程序,因为 Intune 公司门户应用程序没有将用户登录到应用程序,而是建议他们通过安装和设置 Intune 公司门户来设置他们的设备他们设备上的应用程序(?!)。
正如我之前提到的,这些设备已经在其设备上安装并正确设置了 Intune 公司门户 2 年多。
因此,我们考虑检查用户的用户登录以找出问题所在,我们发现记录了登录错误代码 530003 的失败事件(由于条件访问策略,访问已被阻止。)它显示的位置策略“访问策略:需要设备注册才能从手持设备访问 EOL 和 Sharepoint ”失败,原因是“需要兼容设备”(在 Grant Controls 列下)。
一旦我们从应用注册中撤销了新添加的权限“Group.Read.All”,我们的用户就可以成功登录应用。
当我们尝试添加其他权限(如 Directory.Read.All 和 GroupMember.Read.All)时,我们通过 Intune 公司门户的登录流程没有任何问题。
您能否告知引发 Azure 登录错误代码 530003 的“Group.Read.All”权限有什么特别之处,迫使 Intune 公司门户应用程序要求用户在之前设置他们的(已经设置的)设备他们可以登录我们的应用程序吗?
我对此束手无策。有任何想法吗?