如何从 Graph Explorer 查询另一个 Azure Active Directory 租户

Question

我正在使用 Azure 图 API 资源管理器。 我想查询租户中的应用程序列表。 我是 tenant_x 中的用户（最初创建用户的地方）以及 tenant_y 中的管理员（后来与我的用户一起创建）。 我知道当我 go 直接登录原始租户（所以 tenant_x）时，Graph Explorer 不允许我查询 tenant_y。 因此，作为 tenant_y 的管理员，我在 tenant_y 中添加了一个新用户。 我现在使用该用户登录，但仍然无法查询 tenant_y 中的应用程序。 那么如何查询tenant_y中的应用呢？ 有办法吗？ 谢谢。

我正在呼叫的 API（使用新用户登录）首先检索所有应用程序：

https://graph.microsoft.com/beta/applications

响应是：

{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#applications",
"value": []
}

当然，我在那个租户中有应用程序。

Answer 1

根据我们的沟通，您已使用个人帐户作为tenant_y 的guest 来查询tenant_y 中的应用程序列表。

遗憾的是，Microsoft Graph Explorer 不会将您的个人帐户识别为来宾用户。 它仍然会将其视为个人帐户。

因此它将查询个人帐户的应用程序列表而不是tenant_y。

所以现在你有两个选择：

• 通过以下添加新用户在tenant_y 中创建新用户，然后使用此新用户登录Microsoft Graph Explorer 以查询应用列表。
• 代表用户实现获取访问权限，并确保在请求访问令牌时调用{your tenant}端点而不是common端点。 并且您应该使用其他工具（例如Postman ）而不是 Microsoft Graph Explorer。

---

更新：

您可以像这样修改 Microsoft Graph Explorer 中的权限：

在 Microsoft Graph Explorer 中单击您的用户名下的“修改权限”并检查Directory.Read.All权限。

Answer 2

今天，如果您像这样传递租户查询字符串参数，这是可能的：

https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=mydomainname.onmicrosoft.com

请注意，在使用租户查询字符串转到此 URL 之前，您需要注销。 它会要求您重新登录。 登录后，您可以对您有权访问的其他租户（不是您最初创建帐户的家庭租户）发出查询。

如果您在运行特定查询时收到 401，请确保您在"Modify permissions"选项卡上授予所需权限，并单击每个所需权限中的Consent按钮。 之后，您的查询应返回 200 成功结果。

Answer 3

Graph Explorer目前不支持登录到租户端点。 租户端点按以下格式使用

https://login.microsoftonline.com/ {tenantId}/V2.0

一旦您的tenant_x 用户帐户成为tenant_y 中的guest 用户，要使用您的guest 用户帐户有效地查询tenant_y，应用程序（如Graph explorer）必须让您登录另一个租户。 相反，Graph Explorer 使用/Common端点，该端点将始终在您的家庭租户 (tenant_x) 中登录。

唯一可用的解决方法是快速开发应用程序并登录到您选择的租户并在其中运行 API。

Graph explorer 是一个帮助开发者发现和了解Graph Api 的工具，因此可以避免引入过多的复杂性。 但是在他们的Github 存储库中要求此功能并没有什么坏处。