Я создал регистрацию приложения Azure AD для кроссплатформенного мобильного приложения (Xamarin.Forms) для наших сотрудников. Регистрация приложения настроена для работы в качестве однопользовательского приложения, и для правильной работы мы указали ряд разрешений для Microsoft Graph, таких как openid, profile и User.Read, на которые мы дали согласие администратора. Админ. Приложение использует аутентификацию брокера (с использованием ADAL) для входа пользователей в приложение через приложение корпоративного портала Intune, уже установленное и настроенное на каждом устройстве пользователя.
До недавнего времени все работало нормально, пока нам не потребовалось добавить новое разрешение Microsoft Graph для регистрации приложения, а именно Group.Read.All. Итак, мы добавили новое разрешение к регистрации нашего приложения в качестве делегированного разрешения и попросили нашего администратора предоставить согласие администратора для всех пользователей.
После предоставления согласия на новое разрешение наши пользователи не могли войти в приложение, поскольку приложение корпоративного портала Intune не выполняло вход пользователей в приложение, а вместо этого посоветовало им настроить свое устройство, установив и настроив корпоративный портал Intune. app на своем устройстве (?!).
Как я упоминал ранее, на устройствах уже был установлен и правильно настроен корпоративный портал Intune уже более двух лет.
Итак, мы подумали о проверке входа пользователя в систему, чтобы выяснить, в чем проблема, и мы обнаружили событие сбоя, записанное с кодом ошибки входа в систему 530003 (доступ был заблокирован из-за политик условного доступа), где оно отображалось. что политика Политика доступа: Требовать регистрацию устройства для доступа к EOL и Sharepoint с портативных устройств не удалась по причине Требовать совместимое устройство (в столбце Grant Controls).
Как только мы отозвали недавно добавленное разрешение Group.Read.All из регистрации приложения, наши пользователи смогли успешно войти в приложение.
Когда мы попытались добавить другие разрешения, такие как Directory.Read.All и GroupMember.Read.All, у нас не возникло никаких проблем с нашим потоком входа через корпоративный портал Intune.
Не могли бы вы посоветовать, что такого особенного в разрешении Group.Read.All, которое вызывает ошибку входа в Azure с кодом 530003, вынуждая приложение корпоративного портала Intune требовать от пользователей настройки своего (уже настроенного) устройства, прежде чем они смогут войти в наше приложение?
Я в своем уме с этим. Любые идеи?
