如何從 Graph Explorer 查詢另一個 Azure Active Directory 租戶

Question

我正在使用 Azure 圖 API 資源管理器。 我想查詢租戶中的應用程序列表。 我是 tenant_x 中的用戶（最初創建用戶的地方）以及 tenant_y 中的管理員（后來與我的用戶一起創建）。 我知道當我 go 直接登錄原始租戶（所以 tenant_x）時，Graph Explorer 不允許我查詢 tenant_y。 因此，作為 tenant_y 的管理員，我在 tenant_y 中添加了一個新用戶。 我現在使用該用戶登錄，但仍然無法查詢 tenant_y 中的應用程序。 那么如何查詢tenant_y中的應用呢？ 有辦法嗎？ 謝謝。

我正在呼叫的 API（使用新用戶登錄）首先檢索所有應用程序：

https://graph.microsoft.com/beta/applications

響應是：

{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#applications",
"value": []
}

當然，我在那個租戶中有應用程序。

Answer 1

根據我們的溝通，您已使用個人帳戶作為tenant_y 的guest 來查詢tenant_y 中的應用程序列表。

遺憾的是，Microsoft Graph Explorer 不會將您的個人帳戶識別為來賓用戶。 它仍然會將其視為個人帳戶。

因此它將查詢個人帳戶的應用程序列表而不是tenant_y。

所以現在你有兩個選擇：

• 通過以下添加新用戶在tenant_y 中創建新用戶，然后使用此新用戶登錄Microsoft Graph Explorer 以查詢應用列表。
• 代表用戶實現獲取訪問權限，並確保在請求訪問令牌時調用{your tenant}端點而不是common端點。 並且您應該使用其他工具（例如Postman ）而不是 Microsoft Graph Explorer。

---

更新：

您可以像這樣修改 Microsoft Graph Explorer 中的權限：

在 Microsoft Graph Explorer 中單擊您的用戶名下的“修改權限”並檢查Directory.Read.All權限。

Answer 2

今天，如果您像這樣傳遞租戶查詢字符串參數，這是可能的：

https://developer.microsoft.com/en-us/graph/graph-explorer?tenant=mydomainname.onmicrosoft.com

請注意，在使用租戶查詢字符串轉到此 URL 之前，您需要注銷。 它會要求您重新登錄。 登錄后，您可以對您有權訪問的其他租戶（不是您最初創建帳戶的家庭租戶）發出查詢。

如果您在運行特定查詢時收到 401，請確保您在"Modify permissions"選項卡上授予所需權限，並單擊每個所需權限中的Consent按鈕。 之后，您的查詢應返回 200 成功結果。

Answer 3

Graph Explorer目前不支持登錄到租戶端點。 租戶端點按以下格式使用

https://login.microsoftonline.com/ {tenantId}/V2.0

一旦您的tenant_x 用戶帳戶成為tenant_y 中的guest 用戶，要使用您的guest 用戶帳戶有效地查詢tenant_y，應用程序（如Graph explorer）必須讓您登錄另一個租戶。 相反，Graph Explorer 使用/Common端點，該端點將始終在您的家庭租戶 (tenant_x) 中登錄。

唯一可用的解決方法是快速開發應用程序並登錄到您選擇的租戶並在其中運行 API。

Graph explorer 是一個幫助開發者發現和了解Graph Api 的工具，因此可以避免引入過多的復雜性。 但是在他們的Github 存儲庫中要求此功能並沒有什么壞處。