Пользователь MS Graph Guest не может прочитать данные Azure AD

Question

Я создал приложение, зарегистрированное на Портал регистрации приложений , и предоставил согласие администратора.Как пользователь из нашей Azure AD, я могу использовать свое веб-приложение для чтения, например, групп, которые мне назначены в AD.

Но когда я приглашаю пользователя MS в нашу AD (он становится там гостем)пользователь может войти в приложение, но он не может читать группы (использовал тот же метод, что и внутренний пользователь).Я всегда получаю сообщение об ошибке: " Authorization_RequestDenied Недостаточно прав для завершения операции. "

Есть ли способ заставить его работать?Я попытался просмотреть портал Azure, чтобы проверить разрешения или что-то еще, но пока ничего не помогло.

Answer 1

На самом деле, как для AAD Graph API, так и для Microsoft graph api нельзя использовать гостевого пользователя учетной записи MS для чтения данных групп, таких как член этого арендатора.

Даже вы можете установить guest user permissions with no limitation, но вы все равно не можете получить данные группы в этом арендаторе.Это потому, что учетная запись MS не является участником этого тананта.Поэтому он не может указать владельца для запроса.

Я предлагаю вам использовать / создать участника в своем арендаторе для достижения этого.