具有 Azure AD 身份验证的 Azure 函数 - 允许的 token 受众不适用于 Microsoft Graph

Question

我已使用 Azure AD 身份验证配置了 Azure Function，请遵循此文档 - Enable Azure Active Directory in your App Service app .

配置完成后，会添加功能app url，例如:自动将 https://appname.azurewebsites.net 添加到 Allowed Token Audiences ，如下所示，然后我们可以轻松使用 client credential flow获取 token 来调用例如我的函数应用程序中的 http 触发器。

如果我将 Azure AD Graph 资源 URL https://graph.windows.net 添加到允许的 token 受众，我还可以使用此流程来获取调用我的函数的 token 。

但是，如果我添加 Microsoft Graph 资源 URL https://graph.microsoft.com 并获取调用该函数的 token ，我将收到错误。

You do not have permission to view this directory or page.

如何解决这个问题？这是允许的 token 受众的正确用法吗？如果没有，为什么 https://graph.windows.net 工作正常？

任何想法都会受到赞赏。

Answer 1

如果已添加 Microsoft graph，您能否在 api 权限下检查您在 azure AD 中的应用注册情况？如果没有，请将其添加为委托(delegate)权限并尝试一下。