問題タブ [azure-ad-graph-api]

次のコードで Office 365 Unified API を使用してユーザーを一覧表示しようとしています。

結果を見ると、アクセストークンが正常に生成されているようです。しかし、ユーザーを一覧表示しようとすると、次のエラーが発生します。

ここで何が間違っているのか本当にわかりません！ご協力いただきありがとうございます！

Microsoft Graph クライアントを使用して、"ActivityFeed.Read" アクセス許可を持つ Azure AD アプリケーションを作成しようとしています。以下のサンプルではアプリケーションが正常に作成されますが、このアプリケーションから生成されたトークンにはロール「ActivityFeed.Read」が含まれていません。Azure ポータルに移動し、新しく作成したアプリケーションに簡単な変更を加えて手動で保存し、1 分間待つと、生成されたトークンに必要なロールが含まれます。

以下は、新しいアプリケーションを作成した直後の oauth2 認証用のデコードされた jwt トークン データです。

以下は、手動で変更を加えて保存した後、oauth2 認証用にデコードされた jwt トークン データです。

必要な役割を持つアプリケーションをプログラムで作成する方法を教えてください。

自社の Azure ディレクトリで B2C ユーザー作成を実行しようとしています。参考として、Microsoft のこのサイトと、その中の .DotNet の例を使用します。

https://azure.microsoft.com/en-us/documentation/articles/active-directory-b2c-devquickstarts-graph-dotnet/

例に完全に従うと、認証を受けるところまで到達し、ディレクトリ内の AD ユーザーを抽出できます。これが私が生成したサンプルリクエストです。

GET https://graph.windows.net/mycompany/users?api-version=beta

しかし、ディレクトリにサンプル ユーザーを作成する部分に到達すると、「1 つ以上のプロパティに無効な値が含まれています」というエラー応答が表示されます。

投稿 https://graph.windows.net/mycompany/users?api-version=beta

私が使用したペイロードは次のとおりです。これは、サイトのユーザー作成の例で使用されたペイロードとまったく同じです。これは JSON 形式です。

{"accountEnabled": true,"alternativeSignInNamesInfo": [{"type": "emailAddress", "value": "joeconsumer@gmail.com"}],"creationType": "NameCoexistence", "displayName": "Joe Consumer ", "mailNickname": "joec","passwordProfile": {"password": "P@ssword!","forceChangePasswordNextLogin": false},"passwordPolicies": "DisablePasswordExpiration"}

このペイロードは、Microsoft のユーザー作成要件に基づく要件に準拠しています。また、サイトの例とまったく同じペイロードであるため、プロパティの 1 つに無効な値があるというメッセージを受け取るのは奇妙です。さらに悪いことに、応答はどの値が問題の原因であるかを明示的に示していません。

どんな助けでも大歓迎です。

Microsoft.Graph.CreateLink アクションを使用して OneDrive アイテムの共有リンクを作成しようとしています:

次のエラーが発生しました。

メソッドの説明またはメタデータには、API エンドポイント以外に必要なバージョンに関する情報が含まれていません。

Azure マルチテナント環境で、Microsoft アカウントと '職場または学校' アカウントの両方に対して認証したいと考えています。各認証タイプには、異なる要求が必要です。「職場または学校」の要求に対して Microsoft アカウントとしてログインしようとすると、Microsoft ログインでログインが失敗し、アプリケーションに戻りません。

Microsoft Graph API に対して、特定の電子メール アドレスが「職場または学校」アカウントであるかどうかを照会する方法はありますか?

この例https://github.com/Azure-Samples/active-directory-dotnet-native-headlessに従って、ユーザー資格情報 (uname,pwd) を使用して Azure AD に対してユーザーを認証し、ベアラー アクセス トークンを取得します。このトークンは Authorization ヘッダーで Rest API に送信されます。REST API はトークンを使用して、ClaimPrincipal を使用してユーザーを承認します。

ここで、Rest API で、ユーザーが特定のセキュリティ グループに属しているかどうかを検証したいと思います。そのためには、Graph API を使用する必要があります。しかし問題は、REST API がクライアントから受け取った同じ Bearer Token を Graph API に渡すたびに、「Access Token Malformed」エラーがスローされることです。

サンプルの 1 つ ( https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof/blob/master/TodoListService/Controllers/TodoListController.cs ) で、新しいベアラー トークンを再生成する必要があることがわかりました。 Graph API を呼び出すには、新しいトークンを再生成して Graph API を呼び出す必要がありますか? クライアントが REST API に送信したのと同じ Bearer Token を使用して、Graph API を呼び出すことはできませんか?

現在、新しい環境の要求があるたびに、Azure Active Directory でアプリケーションを手動で作成しています。REST API を介してコードからこれらのアプリケーションを作成する方法を模索していました。示されているように、「client_credentials」を使用して、既存のアプリケーションでユーザーとグループを作成することに成功しました。

同様の方法で、上から生成された「access_token」を使用して、新しいアプリケーション adClient.Applications.AddApplicationAsync(newApplication).Wait() を作成しようとしました

しかし、これは「操作を完了するのに十分な権限がありません」というエラーをスローします。

他のスレッドと Azure AD msdn ページを調べたところ、client_credentials フローがアプリケーションの作成/更新をサポートしていないことがわかりました。

クライアント資格情報フローを使用して Azure AD にプログラムでアプリケーションを追加する

上記のスレッドでは、「grant_type=password」フローを使用することによる回避策についても言及されています。提案どおりに試しましたが、意味をなさない次のエラーが引き続き発生します。

これが、私がヒットしているペイロードとエンドポイントです。渡されるユーザーは、アプリケーションを作成する AD の所有者です

私が間違っている可能性がある場所についての考えや提案をいただければ幸いです。