Azure active directory 应用程序注册API权限更改是否延迟？_Azure Active Directory_Microsoft Graph Api

Azure active directory 应用程序注册API权限更改是否延迟？

azure-active-directory microsoft-graph-api

Azure active directory 应用程序注册API权限更改是否延迟？,azure-active-directory,microsoft-graph-api,Azure Active Directory,Microsoft Graph Api,我正在使用函数GetMemberGroups检查用户是否在广告组中。这在dev/localhost中工作得很好。但是，当我将其推送到QA时，我就开始得到以下错误/异常 Microsoft.Graph.ServiceException:代码：授权\u请求被拒绝消息：权限不足，无法完成操作这表明我需要User.Read或更大的权限才能作为委托用户使用此功能所以我进入了我的Azure广告应用注册，开发人员和QA都有这个权限。因此，我决定删除Dev的所有权限。这样做之后，Dev仍然可以正常工作，Q

我正在使用函数

GetMemberGroups

检查用户是否在广告组中。这在dev/localhost中工作得很好。但是，当我将其推送到QA时，我就开始得到以下错误/异常

Microsoft.Graph.ServiceException:代码：授权\u请求被拒绝消息：权限不足，无法完成操作

这表明我需要

User.Read

或更大的权限才能作为委托用户使用此功能

所以我进入了我的Azure广告应用注册，开发人员和QA都有这个权限。因此，我决定删除Dev的所有权限。这样做之后，Dev仍然可以正常工作，QA仍然抛出上面的错误消息

权限更改是否延迟？我对所需权限的理解是否错误？这里发生了什么疯狂的事情

更改应用程序注册权限后，我收到以下警告：

权限已更改。用户和/或管理员必须同意即使他们以前已经这样做了

我从未得到任何接受或拒绝的提示，即使在注销和重新登录之后

应用程序注册权限

这些权限不是最新的。显然，Dev仍然拥有

Directory.Read.All

权限，这是Rohit指出的必需权限，尽管它没有出现在列表中。一旦点击了grantadmin按钮，它就停止在dev中工作

然后，我删除了所有权限，只向这两个应用程序添加了

Directory.Read.all

，单击“管理授权”按钮后，两个应用程序都开始正常工作

感谢Rohit Saigal提供了有关不正确/有缺陷文档的信息。

我认为您可能遇到了一个已知问题，即文档不正确，调用此API所需的最低权限。。我认为

User.Read

委托权限不适用于此API。。看看这里贴出的问题。。这篇文章也对这一点进行了非常详细的讨论。。好的，我之前已经授予Dev

Directory.Read.All，但是我删除了它。那为什么它还能用呢？那部分听起来不对。。如果删除了权限并再次同意了需要管理员同意的权限，则应删除这些权限。。我看到Directory.Read.所有的权限，包括授权权限和应用程序权限，都需要管理员同意。。那么，您在删除同意后是否执行了该同意？同意再也不会出现。我如何才能做到这一点？如果您希望对注册应用程序的同一Azure AD租户进行许可，请使用Azure portal中的“授予权限”按钮。。如果它是不同的租户，那么您可以使用URL获得管理员同意。以下是Azure portal授予许可的屏幕截图。。