Почему некоторые области действия Microsoft Graph запрашивают согласие администратора для одного арендатора, а для другого - только делегированное разрешение?

Question

Мое приложение является мультитенантным и зарегистрировано в AAD для доступа к сайтам с Sites.ReadWrite.All делегированным пользователем разрешением / областью действия.

В некоторых арендаторах получение токена OAuth отлично работает с согласия пользователя, как и ожидалось, но с другимиарендаторы, как корпоративный арендатор Microsoft, требуется согласие администратора.

Это недокументированное поведение? Может ли администратор добавить явное требование согласия для областей?

Работает на моем арендаторе, но не на microsoft.com арендаторе, используя обычную учетную запись пользователя Microsoft.

Answer 1

В Azure AD есть параметр, запрещающий согласие пользователя.

Организации, которым требуется согласие администратора, скорее всего, сделали это. Таким образом, область, которая требует согласия пользователя, обычно становится областью, с которой могут согласиться только администраторы.

Вот эта: