Azure AD. Как запретить приложению получать адреса электронной почты пользователей?

Question

Я настроил приложение активного каталога Azure, чтобы оно использовало следующие конечные точки для входа пользователя в систему:

1. https://login.microsoftonline.com/TenanId/oauth2/authorize
2. https://login.microsoftonline.com/TenanId/oauth2/token

Я предоставил разрешение на Microsoft Graph API, но все, что я сделал доступным, это «Вход пользователей в систему» ​​в разделе «Включить доступ».Я пытаюсь понять, возможно ли не получить ничего, кроме неизменяемого идентификатора, из процесса входа в систему.Глядя на разрешения, кажется, что в тот момент, когда я даю разрешение на вход в систему, я также даю разрешение на доступ к своим данным пользователя.Можно ли настроить это так, чтобы я только предоставлял разрешение на вход в систему, но не получал никаких сведений о пользователе, использующих эту версию?

Answer 1

Можно ли настроить это так, чтобы я предоставлял только разрешение на вход в систему, но не извлекал какие-либо сведения о пользователе, используя эту версию?

Это невозможно.

Когда вы даете разрешение на вход пользователя, это также позволяет приложению читать профиль пользователя. Разрешение строка показа Sign-in and read user profile и ее имя User.Read.

Описание: позволяет пользователям входить в приложение ипозволяет приложению читать профиль вошедших в систему пользователей.Это также позволяет приложению читать основную информацию о компании зарегистрированных пользователей.

Почему:

На основе Oauth / ODIC, при использовании учетных записей AADчтобы войти в свое приложение (аутентификация / авторизация вашего приложения через AAD), вы можете войти в систему с учетными записями AAD, для этого необходимо прочитать профиль пользователя.В противном случае ваше приложение не может знать, кто пользователь, и не может выполнить аутентификацию / авторизацию. Это базовое разрешение, которое требуется вашему приложению, если оно позволяет пользователю войти в систему.