我正在尝试在Teams中开发一个应用程序,以帮助团队所有者邀请外部访客加入他们的团队。该应用程序在后端使用graph api / invitations调用来完成工作。我们通过在AD App注册刀片下的Azure门户中为他们分配User.Invite.All api权限,来限制可以邀请来宾的用户。我们发现,即使没有分配此权限的用户也可以邀请来宾。我做错什么了吗?
答案 0 :(得分:0)
如果您向应用程序授予了授予的权限 User.Invite.All,并且该用户能够邀请用户,则该用户已经具有邀请用户的权限。 他们将能够去例如portal.azure.com,并在这种情况下也从那里邀请用户。
如果您授予了 app权限 User.Invite.All,则使用该应用程序的任何用户都可以邀请用户,因为该应用程序本身具有该权限,并且用户信息甚至都没有出现在访问令牌中。