Microsoft graph api 使用SPFx向专用O365组添加/删除用户

无法使用SharePoint Framework（SPFx）Web部件中的MSGraphClient向具有group.ReadWrite.All和User.Read.All权限的O365专用组添加/删除成员

我已批准SharePoint Admin API访问页的权限，以便我的“SharePoint Online Client Extensibility Web应用程序主体”获得所需的委派权限。甚至尝试使用GroupMember.ReadWrite.All和Directory.ReadWrite.All权限

POST https://graph.microsoft.com/v1.0/groups/{groupid}/members/$ref
{
    "@odata.id": "https://graph.microsoft.com/v1.0/users/{userid}"
}

也试过用下体

{
    "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{userid}"
}

以下是错误文本：

Uncaught (in promise) Error: Error making HttpClient request in queryable [403] Forbidden ::> {
  "error": {
    "code": "Authorization_RequestDenied",
    "message": "Insufficient privileges to complete the operation.",
    "innerError": {
      "date": "2020-09-09T20:18:44",
      "request-id": "ea951e6c-ae43-4907-8c86-e6f6c8346462"
    }
  }
}

当我使用O365帐户而不是组所有者帐户登录时，我收到此错误。当我使用组所有者帐户运行相同的代码时，它可以正常工作

以下是API管理和Azure广告应用程序页面的截图

---

以下是应用的权限：

---

以下是应用的权限：

---

检查您的spfx是否已在管理中心获得权限。

---

检查您的spfx是否已被授予管理中心的权限。

---

这是精心设计的。即使Azure AD应用程序具有所需的委派权限，但如果用户不是管理员或私人组的所有者，则不允许他向其中添加成员

O365门户中也存在同样的行为

当普通用户尝试向专用组添加成员时，它将显示“ 您只能将成员添加到您有权访问的组中，并且无法添加成员

---

如果您将管理员角色（用户管理员或组管理员）分配给该用户，则该用户可以成功添加成员。如果您添加用户（没有管理员角色）作为组的所有者，他也可以添加成员。

这是出于设计。即使Azure AD应用程序具有所需的委派权限，但如果用户不是管理员或私人组的所有者，则不允许他向其中添加成员

O365门户中也存在同样的行为

当普通用户尝试向专用组添加成员时，它将显示“ 您只能将成员添加到您有权访问的组中，并且无法添加成员

---

如果您将管理员角色（用户管理员或组管理员）分配给该用户，则该用户可以成功添加成员。如果您将用户（没有管理员角色）添加为组的所有者，他也可以添加成员。

权限似乎没有生效。您能否提供Azure AD app中配置的委派权限的屏幕截图？在中使用访问令牌的屏幕截图更新帖子，以检查其是否包含所需权限。是的，它显示所需权限如果任何答案对您有帮助，您可以将其作为答案接受（单击答案旁边的复选标记，将其从灰显切换为填充。）。请参阅。这可能对其他社区成员有益。谢谢。权限似乎未生效。能否提供Azure AD app中配置的委派权限的屏幕截图？使用访问令牌中的屏幕截图更新帖子，以检查其是否包含所需权限。是的，它显示所需权限如果任何答案都对您有帮助，您可以将其作为答案接受（单击答案旁边的复选标记，将其从灰色切换为已填写）。请参阅。这对其他社区成员来说可能是有益的。谢谢。是的，我们已经批准了上述屏幕中的权限（SharePoint管理中心-API管理页面）这很奇怪。在graph explorer中存在相同的问题。是的，我们在graph explorer中看到了相同的问题，我们在提到的屏幕（SharePoint管理中心-API管理页面）中批准了权限。这很奇怪。在graph explorer中存在相同的问题。是的，我们在graph explorer中看到了相同的问题