Azure 在Microsoft Graph API中将成员添加到目录角色-权限不足
委员会: 执行此API需要以下作用域之一:Directory.ReadWrite.All或Directory.accessUser.All 确认Directory.ReadWrite.All是我的令牌的角色之一,但以下请求:Azure 在Microsoft Graph API中将成员添加到目录角色-权限不足,azure,office365,azure-active-directory,microsoft-graph-api,Azure,Office365,Azure Active Directory,Microsoft Graph Api,委员会: 执行此API需要以下作用域之一:Directory.ReadWrite.All或Directory.accessUser.All 确认Directory.ReadWrite.All是我的令牌的角色之一,但以下请求: POST https://graph.microsoft.com/v1.0/directoryRoles/{directoryRoleObjectId}/members/$ref { "@odata.id": "https://graph.microsoft.com/v
POST https://graph.microsoft.com/v1.0/directoryRoles/{directoryRoleObjectId}/members/$ref
{
"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{userObjectId}"
}
{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"request-id": "{id}",
"date": "2016-11-25T15:18:07"
}
}
}
在directoryRole上运行GET将返回数据,因此读取权限似乎正常工作。我缺少什么?Directory.AccessAsUser.All(使用管理员帐户)允许您从目录角色添加/删除用户。注意:这是一个委托权限。据我所知,没有其他权限允许此操作,我们需要修复我们的文档。我需要向我们的一些开发团队了解这一点。
问题:您需要使用应用程序权限而不能使用委派权限的原因是什么
希望这有帮助,Directory.AccessAsUser.All(使用管理员帐户)允许您从目录角色添加/删除用户。注意:这是一个委托权限。据我所知,没有其他权限允许此操作,我们需要修复我们的文档。我需要向我们的一些开发团队了解这一点。
问题:您需要使用应用程序权限而不能使用委派权限的原因是什么
希望这有帮助,这应该可以(使用这些权限)工作。选中Directory.AccessAsUser.All(使用管理员帐户)和this works(使用图形浏览器检查)。需要单独检查应用程序权限。这应该可以(使用这些权限)。选中Directory.AccessAsUser.All(使用管理员帐户)和this works(使用图形浏览器进行检查。将需要单独检查应用程序权限。感谢您提供的信息-我们应该能够将委派权限作为替代方案来实施,事实上,这样做可能也更有意义。好的-很高兴听到这个消息。请让我们知道此选项是否对您不起作用。再次感谢感谢您在文档中报告错误。是的,谢谢-我们使用委派权限进行了工作,结果表明,对于我们的场景,这比应用程序权限更合适。关于一个稍微相关的主题,您是否知道是否可以通过MS Graph将成员添加到Exchange角色组?相当于中的add-RoleGroupMember cmdletPowerShell。感谢您提供的信息-我们应该能够实现委派权限作为替代方案,事实上,这样做可能也更有意义。好的-很高兴听到这个消息。如果此选项不适用于您,请告诉我们。再次感谢您在文档中报告错误。是的,谢谢-我们使用deleg实现了它事实证明,对于我们的场景,这比应用程序权限更合适。关于一个稍微相关的主题,您是否知道是否可以通过MS Graph将成员添加到Exchange角色组?这相当于PowerShell中的add-RoleGroupMember cmdlet。