我正在使用功能GetMemberGroups
检查用户是否在AD组中。在dev / localhost中可以正常工作。但是,将其推送到质量检查后,我开始出现以下错误/异常。
Microsoft.Graph.ServiceException:代码:Authorization_RequestDenied 消息:特权不足,无法完成操作。
此msdn page指出,我需要User.Read
或更高权限才能将此函数用作委派用户。
因此,我进入了Azure AD应用程序注册,Dev和QA均具有此权限。因此,我决定从Dev中删除所有权限。完成此操作后,Dev仍然可以正常工作,并且QA仍然会抛出上述错误消息。
权限更改是否延迟?我对所需的权限有问题吗?这里发生了什么疯狂的事情。
更改应用程序注册权限后,出现以下警告:
权限已更改。用户和/或管理员将必须同意 即使他们以前已经这样做了。
即使退出并重新登录,我也从未收到任何接受或拒绝的提示。
答案 0 :(得分:1)
应用程序注册权限
这些权限不是最新的。显然,Dev仍然具有Directory.Read.All
权限,正如Rohit指出的那样,这是必需的权限,尽管它没有出现在列表中。单击Grant admin按钮后,它将停止在开发环境中工作。
然后我删除了所有权限,仅向两个应用程序添加了Directory.Read.All
,一旦单击了管理员授予按钮,两个应用程序便开始正常工作。
感谢 Rohit Saigal 提供有关错误/错误文档的信息。