Question

根据msdocs，具有“ GroupMember.ReadWrite.All”应用程序级权限足以将成员添加到安全组中就足够了

我收到授权错误（见下文）-如果我授予“ Group.ReadWrite.All”权限，它会按预期工作

我在这里错过了明显的事情吗？

语言是PowerShell-使用“ client_credentials”授予类型连接到Graph API v1.0

错误消息：

Invoke-RestMethod : {
  "error": {
    "code": "Authorization_RequestDenied",
    "message": "Insufficient privileges to complete the operation.",
    "innerError": {
      "request-id": "71b06588-f9a2-48ef-ac3f-5223899cad68",
      "date": "2020-01-03T09:30:31"
    }
  }
}

Answer 1

Add member endpoint documentation指出，对于Application权限类型之一，需要以下权限：

GroupMember.ReadWrite.All，Group.ReadWrite.All和 Directory.ReadWrite.All

但是，它也会根据组类型而有所不同：

对于Office365组，以下权限之一是足够：GroupMember.ReadWrite.All或Group.ReadWrite.All
在Security组中，同时需要GroupMember.ReadWrite.All权限，同时还需要指定Directory.ReadWrite.All

因此，解决方案是指定权限Directory.ReadWrite.All和GroupMember.ReadWrite.All

应用程序级别“ GroupMember.ReadWrite.All”的权限添加组成员失败-与“ Group.ReadWrite.All”一起使用

1 个答案: