使用设备代码获取 Graph API PowerShell 的访问令牌

有时，您需要使用 Microsoft Graph PowerShell 以编程方式在 Microsoft 租户中执行任务，但您可能无法选择或不想安装 SDK。 SDK不仅安装起来有些麻烦，而且维护起来也越来越令人沮丧。

值得庆幸的是，由于 Graph API 易于访问，您可以利用内置的 PowerShell 函数来获取访问令牌并进行查询。然而，这种传统的方法是利用无人值守的身份验证方法，例如带有自定义应用程序注册的密钥。这些密钥通常存储在代码中，但也可以通过其他方式（例如 Azure Key Vault）安全地访问。

对 Microsoft Graph 进行身份验证的另一种方法是使用现代身份验证以交互方式进行身份验证。遗憾的是，如果不安装 SDK，则无法获得集成浏览器体验，因此要解决此问题并获得类似的体验，可以使用设备授权授予流程来获取访问令牌。

在本教程中，我将向您展示如何在不安装 Microsoft Graph PowerShell SDK 的情况下使用 PowerShell 通过设备代码身份验证获取访问令牌。

启动设备授权请求

第一步是通过向认证服务器请求用户代码和设备代码来启动授权过程。下面的代码将启动该过程。您必须在请求正文中包含两个参数，即 client_id 和 resource。

• client_id 是要连接到的 Microsoft Entra 中的服务主体（或应用程序），下面我定义了内置的 Microsoft Graph 命令行工具应用程序。
• 资源定义访问令牌的有效范围。在本例中为 Microsoft Graph。

$ClientID = '14d82eec-204b-4c2f-b7e8-296a70dab67e'
$uri = "https://login.microsoftonline.com/common/oauth2/devicecode"
$body   = @{
    client_id = $ClientId
    resource  = "https://graph.microsoft.com/"
 }
$Request = Invoke-RestMethod -Uri $uri -Method POST -Body $body

完成交互式登录

授权请求响应将包含与完成身份验证相关的信息。具体来说，它将包含您必须导航到的验证 URL 以及登录前需要在网络浏览器中输入的用户代码。您可以通过将 $Request 变量输入到中来查看此信息您的 PowerShell 会话。

打开您喜欢的网络浏览器并导航至：https://microsoft.com/devicelogin。然后，当提示输入代码时，输入存储在 $request 变量中的用户代码，然后单击下一步。

完成通常的登录体验，然后系统会要求您关闭窗口。完成此操作后，返回 PowerShell 会话并继续下一步。

获取访问令牌

现在用户已获得授权，任何标准应用程序通常都会配置为通过使用设备代码发出 POST 请求来轮询 /token 端点，以获取访问令牌。相反，我们必须手动执行此操作才能获取访问令牌。

在下面的请求中，我们使用所需的 grant_type、device_code 向 /token 端点发出 POST 请求和 Microsoft 文档中定义的 client_id。然后，响应（包括访问令牌）将存储在 $token 变量中。

$TokenReq = @{
    Method = 'POST'
    Uri    = "https://login.microsoftonline.com/common/oauth2/token"
    Body   = @{
        grant_type = "urn:ietf:params:oauth:grant-type:device_code"
        code       = $Request.device_code
        client_id  = $ClientId
    }
}
$Token = Invoke-RestMethod @TokenReq

您可以通过在 PowerShell 会话中输入 $token 来检查响应是否已成功存储。

使用访问令牌

一旦获得访问令牌，除非刷新，否则它的生命周期很短。虽然一般来说对于大多数任务来说它已经足够长了，我将在另一篇文章中介绍这一点。

可以在脚本开头定义访问令牌并将其存储在变量中，以便可以将其重新用于多个请求。最简单的方法是使用以下代码。

$header = @{
        'Authorization' = "Bearer $($token.access_token)"
}

使用 Invoke-RestMethod cmdlet，$header 变量可以包含在任何请求的 -Header 参数中。下面是一个示例，其中我针对 /v1.0/groups 端点调用 GET 请求。

$header = @{
        'Authorization' = "Bearer $($token.access_token)"
}

$URI = "https://graph.microsoft.com/v1.0/groups"
Invoke-RestMethod -Uri "$URI" -Headers $Header

然后您应该会收到成功的响应。

使用设备代码获取 Microsoft Graph 访问令牌的完整脚本

为了简化该过程，这里有一个小脚本，它将启动设备授权授予流程，然后它将启动带有验证 URL 的默认 Web 浏览器，并将用户代码保存到剪贴板。当浏览器启动时，脚本将暂停，直到您返回为止。最后，它将获得可供使用的访问令牌。

#Define the ID of the application you wish to connect to. 
#This has been prefilled with the Microsoft Graph Command Line Tools application.
$ClientID = '14d82eec-204b-4c2f-b7e8-296a70dab67e'

#Request a device code
$DeviceCodeRequestParams = @{
    Method = 'POST'
    Uri    = "https://login.microsoftonline.com/common/oauth2/devicecode"
    Body   = @{
        client_id = $ClientId
        resource  = "https://graph.microsoft.com/"
    }
}
$Request = Invoke-RestMethod @DeviceCodeRequestParams

#Copy the device code to your clipboard
Set-Clipboard -Value $Request.user_code

#Launch default web browser at https://microsoft.com/devicelogin
Start-Process $Request.verification_url

#Notice and pause processing, press ENTER to continue
Write-host "`n User code $($Request.user_code) copied to clipboard!... It expires in 15 minutes `n" -ForegroundColor Yellow
Write-host "LAUNCHING WEB BROWSER, please complete the login and click ENTER when complete `n" -ForegroundColor Yellow
pause

#Obtain access token once authenticated
$TokenReq = @{
    Method = 'POST'
    Uri    = "https://login.microsoftonline.com/common/oauth2/token"
    Body   = @{
        grant_type = "urn:ietf:params:oauth:grant-type:device_code"
        code       = $Request.device_code
        client_id  = $ClientId
    }
}
$Token = Invoke-RestMethod @TokenReq

#The token accessible at "$Token.access_token"