我正在使用Microsoft Graph Group.ReadWrite.All委派的权限范围。 Azure AD App配置了此权限。
由于它是委派权限,因此授予应用程序的权限将是作用域授予的权限与登录用户拥有的权限的最小权限组合(交集)。
在管理员同意应用程序后,我使用了普通用户凭据并检索了令牌。使用此令牌,我可以更新私有Office 365组的成员,即使该用户不是该私有组中的管理员。
此行为似乎不正确。请澄清。
答案 0 :(得分:3)
因此,当您使用委派权限时,该应用程序具有与登录用户相同的权限,进一步受限于授予应用程序的权限。在这种情况下,您对权限的交叉是正确的 - 允许应用程序更新私有组的成员资格,但前提是登录用户还能够更新私有组的成员资格。在这种情况下,如果用户不是该组的管理员,则该应用程序应该无法通过API更新组成员身份(在此登录用户的上下文中)。
更新: 我能够重复这个。目前(通过API)私有成员可以将其他成员添加到该组。我怀疑您的测试中的用户是该组的成员。 (非成员无法将成员添加到私人组。)我们目前正在努力解决此问题。
希望这有帮助,