MSGraphMailbag - 用于测试的 Azure AD 应用程序和用户

Posted 2021-05-18 Justin-Liu

概述

在开发基于 Microsoft Graph 的解决方案时，我们通常要考虑所涉及的不同身份验证流，可以问自己如下问题：

• 用户是否交互式地登录到应用程序？
• 用户是否需要一个提升的 Azure AD 角色分配？
• 用户是否有可能应用的条件访问策略？
• 将使用哪种类型的凭据 (密码、客户端密钥、客户端证书等)？

本篇是来自 Brian T. Jackett 的分享，Senior Program Manager on the Microsoft Graph CPx team，如果关注微软的一些大会，会很容易看到他的身影。

Azure AD 示例应用程序

作者在他的开发环境中提供了一些 Azure AD 的示例应用程序，其中主要包括：

• 托管认证 Graph 应用
  • 适用于授权验证流，如设备代码或授权代码流
  • 允许公共客户端流
  • 能够隐式授予访问令牌和 ID 令牌
• 应用程序认证 Graph 应用
  • 适用于应用程序身份验证流，如客户端凭据流
  • 配置了用于身份验证的客户端密钥和证书
• Postman Graph 应用
  • 用于托管认证或应用程序认证流
  • 用于 Postman 回调的 Redirect URI(s)
• Graph 连接器应用
  • 用于应用程序认证流
  • 用于读取内容的 ExternalItem.ReadWrite.All 权限
• PowerShell Graph 应用
  • 用于托管认证或应用程序认证流
  • 配置了用于身份验证的客户端密钥和证书
  • 单独的应用程序，因为通常测试具有不同权限的管理请求

Azure AD 示例用户

除了使用不同的 Azure AD 应用程序进行测试外，让不同的 Azure AD 用户使用不同的配置也是有帮助的。当使用托管认证流时，除了常规的托管权限外，有一些 Microsoft Graph 端点需要 Azure AD 角色分配或 Azure AD 许可。以下列表并非详尽无遗，仅为参考。

• Azure AD 域管理员
  • 需要在 /informationProtection/ BitLocker 端点下代表另一个用户查询 BitLocker recovery keys
• 报告阅读者
  • 授权 API 读取 Microsoft 365 使用报告
• 安全管理员/安全阅读者
  • 用于查询 /riskyUsers 端点下的风险用户
• Azure AD P1/P2 授权用户
  • 用于在 auditLogs/signIns 端点下查询 Azure AD 登录报表

关于自动化创建 Azure AD 资源的探索

在单一开发环境中拥有 Azure AD 应用程序和用户的测试数据是很棒的，如果这成为一个可重复的过程就更好了。本篇文章中，作者将分享一些自动化选项供大家探索。

• Microsoft Graph PowerShell SDK
  • PowerShell SDK installation
  • 示例命令
    • New-MgApplication
    • New-MgUser
  • Microsoft365DSC
  • Microsoft Graph CLI (preview)