Powershell - 运行 Azure 委派权限应用程序时无法“使用其他帐户”

Question

我在 Powershell 中使用应用程序权限使用 Graph API 已经有一段时间了，我想探索委派权限的工作原理。

我遇到了很棒的网站。 https://morgantechspace.com/2021/10/how-to-register-and-configure-azure-ad-application-from-azure-ad-portal.html

我基本上是在创建应用程序后复制并运行下面的代码。 当我运行代码时，会弹出一个 MFA 提示符，这是我所期望的。 但是，我永远无法选择另一个帐户登录。 它始终默认为我用来运行 Powershell 的帐户。 无论如何我可以绕过它吗？

$TenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
  
 $MsalParams = @{
    ClientId = $AppClientId
    TenantId = $TenantId
    Scopes   = "https://graph.microsoft.com/User.Read"
}
 
$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken#Provide Application (client) Id of your app

Answer 1

我们已经按照给定的article 进行了同样的尝试，并且可以选择我们的另一个帐户（Admin）并成功获取访问令牌。强>

这是我们尝试过的解决方法：-

• 创建了一个应用注册并提供了redirect uri，并在授予管理员同意的情况下授予了 API 权限，如下所示。

并创建客户端密码并复制该值以在进一步的步骤中使用它。

因此，在完成上述操作后，我们以管理员身份运行 PowerShell 模式并提供相同的代码和凭据；

# Select and Connect to require account for this operation
Connect-AzAccount
#Provide your Office 365 Tenant Domain Name or Tenant Id
$TenantId = "1xxxxxxxxxxxxxxxxxxxxxxxx20"
#$TenantId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
  
#Provide Application (client) Id of your app
$AppClientId="5xxxxxxxxxxxxxxxxxx5e"
  
 $MsalParams = @{
    ClientId = $AppClientId
    TenantId = $TenantId
    Scopes   = "https://graph.microsoft.com/User.Read.All"
}
 
$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken

然后运行后它会重定向询问您的登录帐户默认或使用另一个帐户。然后选择另一个帐户并提供凭据。

输出屏幕截图供参考：-

注意：- 您可以使用Connect-AzAccount，然后从那里选择另一个帐户，提供您的详细信息以及何时重定向以询问您登录可以从弹出窗口本身中选择该帐户并提供您的密码，它将起作用。也可以尝试重新启动 PowerShell，这也可能有帮助。

更多信息请参考 SO THREAD|Running PowerShell as another user, and launching a script.