Microsoft Graph for Office 365 - V2版本終結點上的Azure AD應用程式

部落格地址：http://blog.csdn.net/FoxDave

上一篇文章我們討論了認證的路線圖和訪問令牌這兩個進行Microsoft Graph請求的關鍵。本篇我們介紹如何註冊一個Azure AD應用程式用來跟Microsoft Graph通訊。

在介紹註冊Azure AD應用程式的步驟之前，我們先來闡明一些東西。在Azure AD中用於註冊應用程式的終結點有兩個：V1和V2。本篇我們使用預覽版的Azure AD應用程式註冊入口網站和V2版本的終結點來註冊應用程式，也是微軟推薦的方式。下面的圖表是從上一篇修改來的，展示了本篇要關注的內容。

註冊Azure AD V2應用程式

在瀏覽器中訪問Azure AD入口網站中的App registrations。

點選**+ New registration**選單。

在新註冊應用程式的頁面，指定如下資訊：

• Name = <你想要使用的名稱>
• Supported account types = <選擇需要的型別>
• Redirect URI = Web : https://localhost:8080

注意：Redirect URI值可以在之後進行修改，也可以指向一個不存在的地址。

點選“Register"按鈕註冊應用程式。應用程式建立完成後，Azure會轉到應用程式概覽頁。在這個頁面拷貝Application (client) ID和Directory (tenant) ID這兩個值，之後會用到。

選擇左側管理項中的Authentication。在第二跳轉URI中填入https://app.getpostman.com/oauth2/callback。之後的文章中我們會用這個URI使用Postman去呼叫Microsoft Graph。

• 選擇左側選單中的Certificates & Secrets

• 選擇New client secret

• 在Add a client secret對話方塊中，指定如下值：

  • Description = Secret1
  • Expires = In 1 year

• 點選新增
  

建立完client secret後，複製VALUE欄位的值，我們之後會用到它。

重要提示：該金鑰字串之後不會再顯示了，一定要在這裡複製它的值，否則只能重建了。

下一步是設定應用程式呼叫Microsoft Graph所需的許可權。我們會在之後的文章中更細緻地探討應用程式許可權，本文只介紹兩種許可權：

1. 託管許可權 (Delegated Permissions)
   當應用程式在使用者上下文中執行時，使用該許可權。在這種情況下，以使用者的許可權去執行應用程式。
2. 應用程式許可權
   在使用客戶端憑據流 (也叫做app only flow)時使用該許可權。在這種情況下，應用程式不需要在使用者上下文中執行。本文我們新增這種許可權。

我們會在之後的文章中使用建立的應用程式呼叫Microsoft Graph去查詢組織中的所有使用者列表。因此我們在這裡新增"User.Read.All”應用程式許可權。

點選左側選單的API permissions。點選**+ Add a permission按鈕。選擇Microsoft Graph**。選擇Application Permissions。展開使用者分類並勾選User.Read.All許可權。

注意：我們會看到Admin consent required列顯示為Yes。這意味著應用程式在能夠呼叫Microsoft Graph查詢之前必須得到Azure AD管理員的授權。

回到API Permissions螢幕並點選Grant admin consent for ，然後點選Yes。

注意：我們必須是Azure AD的域管理員或類似的角色才能授予管理員許可。