Microsoft Graph-Sites.Read.All权限需要管理员同意

Question

我正在通过Graph explorer使用Microsoft Graph API。我已使用公司帐户登录。根据文档，委派权限Sites.Read.All和Sites.ReadWrite.All不需要管理员同意。

但是在Graph资源管理器中，我看到未同意Sites.Read.All权限。

如果我单击Site.Read.All的同意按钮，我将收到需要管理员批准的信息。

这是否意味着我真的需要获得Sites.Read.All权限的管理员同意，还是Graph API出现问题？

管理员如何授予我所需的批准？

更新

我已经检查了Azure Portal中的用户同意设置，并且应用程序的同意设置允许用户同意来自经验证的发布者的应用程序的所选权限。

有4种权限被归为低风险。

我将要求管理员授予我需要的权限，或将这些权限归类为低风险。

Answer 1

鉴于AAD的广度和深度，Graph文档无法涵盖所有​​配置。因此，通常会假设您的租户正在使用默认配置设置。

出于多种原因，您可能需要管理员同意，但是我怀疑这是由于您的租户已自定义User Consent配置。具体来说，该用户同意已被禁用：

禁用用户同意-用户无法向应用授予权限。用户可以继续登录他们之前同意或代表管理员同意的应用程序，但是不允许他们同意新的权限或自己的新应用程序。只有被授予包含授予同意权限的目录角色的用户才可以同意新权限或新应用。