在Microsoft Graph API中添加成员到目录角色 - 权限不足

时间:2016-11-25 15:35:32

标签: azure office365 azure-active-directory microsoft-graph

docs state

  

执行此API需要以下范围之一:Directory.ReadWrite.All OR Directory.AccessAsUser.All

http://jwt.calebb.net/确认 Directory.ReadWrite.All 是我的令牌的角色之一,但请求如下:

POST https://graph.microsoft.com/v1.0/directoryRoles/{directoryRoleObjectId}/members/$ref
{
  "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{userObjectId}"
}

返回:

{
  "error": {
    "code": "Authorization_RequestDenied",
    "message": "Insufficient privileges to complete the operation.",
    "innerError": {
      "request-id": "{id}",
      "date": "2016-11-25T15:18:07"
    }
  }
}

在directoryRole上运行GET会返回数据,因此读取权限似乎正常。我错过了什么?

1 个答案:

答案 0 :(得分:2)

Directory.AccessAsUser.All(使用管理员帐户)允许您从目录角色添加/删除用户。注意:这是委托权限。据我所知,没有其他权限允许此操作,我们需要修复我们的文档。我需要与我们的一些开发团队核实一下。
问题:您是否有理由需要使用应用程序权限,并且不能使用委托权限?

希望这有帮助,

相关问题
最新问题