添加成員到微軟圖形API目錄角色 - 權限不足

以下其中一個作用域需要執行此API：Directory.ReadWrite.All或Directory.AccessAsUser.All

http://jwt.calebb.net/確認Directory.ReadWrite.All是我的令牌角色之一，但以下請求：

POST https://graph.microsoft.com/v1.0/directoryRoles/{directoryRoleObjectId}/members/$ref 
{ 
    "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{userObjectId}" 
}

{ 
    "error": { 
    "code": "Authorization_RequestDenied", 
    "message": "Insufficient privileges to complete the operation.", 
    "innerError": { 
     "request-id": "{id}", 
     "date": "2016-11-25T15:18:07" 
    } 
    } 
}

運行在directoryRole一個GET返回的數據，所以讀取權限似乎工作。我錯過了什麼？

來源

2016-11-25 Ian

這應該工作（與這些權限）。檢查Directory.AccessAsUser.All（使用管理員帳戶）和這個工程（檢查使用圖形瀏覽器。將需要單獨檢查應用程序的權限。 –

Directory.AccessAsUser.All（使用管理員帳戶）允許您從目錄角色添加/刪除用戶。注意：這是一個委託權限。據我所知，沒有其他權限允許此操作，我們需要修復我們的文檔。我需要和我們的一些開發團隊一起回顧一下。
問題爲您：是否有一個原因，您需要使用應用程序權限，並且不能使用委託權限？

希望這會有所幫助，

來源

2016-11-25 20:14:35

感謝您的信息 - 我們應該能夠實施委派的權限作爲替代，和其實這樣做也許更有意義 – Ian

好的 - 這很好聽，請讓我們知道這個選項不適合你，並再次感謝報告文檔中的錯誤 –

是的，謝謝 - 我們使用委託權限工作，事實證明這比適用於我們場景的應用程序權限更合適。在稍微相關的主題上，您是否可以通過MS Graph將成員添加到Exchange角色組？相當於PowerShell中的Add-RoleGroupMember cmdlet。 – Ian

添加成員到微軟圖形API目錄角色 - 權限不足

回答

相關問題