Microsoft Graph API：条件访问策略答案

【问题标题】：Microsoft Graph APIs: conditional access policiesMicrosoft Graph API：条件访问策略
【发布时间】：2017-03-28 23:59:51
【问题描述】：

对我之前的问题的跟进 - 是否有任何 API 可用于管理租户的条件访问策略？

我正在使用 API (https://developer.microsoft.com/en-us/graph/docs/api-reference/beta/api/policy_list) 来检索为我的租户创建的策略列表，并且遇到了权限问题。

根据文档，此 API 需要 Directory.AccessAsUser.All 范围。在 Azure AD 门户上，我将测试应用程序的权限设置为包括“读取和写入目录数据”和“以登录用户身份访问目录”。我在 Windows Azure Active Directory 和 Microsoft Graph API 上都设置了这些权限。当我拨打 https://graph.microsoft.com/beta/policies 时，我不断收到 403 Forbidden 错误消息“权限不足，无法完成操作。”。其他操作，如获取目录中的用户、获取 identityRiskEvents 等都可以正常工作。

我这里有什么遗漏吗？

提前致谢！

【问题讨论】：

标签： azure-active-directory microsoft-graph-api azure-ad-graph-api

【解决方案1】：

其实答案是否定的。 GRAPH REST API List Policies 尚未返回条件访问策略。 REST API doc 声明：

Currently only one type of policy is available:

Token Lifetime Policy - Specifies the lifetime duration of tokens 
issued for applications and service principals.

查看有关配置条件访问的 microsoft 常见问题解答文档。

图形 API 是否可用于配置条件访问策略？

目前没有。

FAQ Link

【讨论】：

谢谢，这正是我需要知道的！我希望文档去年可用:(
@sdworld 希望他们过早支持条件访问策略 :)

【解决方案2】：

不，Graph API 参考中描述了 Operations on policy 的 REST API List policies，您可以使用它来列出租户的所有策略。

编辑：本文仅列出目前正在返回的令牌策略：https://docs.microsoft.com/nl-nl/graph/api/resources/policy?view=graph-rest-beta

【讨论】：

感谢您的快速回复！
@sdworld 您无法通过图形 api 访问条件访问策略。请参阅下面的答案。

【解决方案3】：

Microsoft 最近在其 Graph API 测试版 (https://docs.microsoft.com/en-gb/graph/api/resources/conditionalaccesspolicy?view=graph-rest-beta) 中发布了对条件访问策略的访问。他们目前支持条件访问策略资源类型的方法是：

列表
创建
获取
更新
删除

类似的方法可用于策略中包含的命名位置。

【讨论】：