Можно ли клонировать команду (не являющуюся членом исходной команды) с помощью API-интерфейса Microsoft Graph с делегированным разрешением?

Question

Я могу создать новую команду. При попытке клонировать команду с помощью идентификатора группы (я не являюсь членом или владельцем этой группы), используя регистрацию приложения Azure AD со всеми необходимыми разрешениями (иметь разрешение Microsoft Graph Создание и удаление группы или группы). Но при получении доступа отказано во время клонирования команды.

Failed to CloneTeams. StatusCode: 403, ReasonPhrase: 'Forbidden', Version: 1.1, Content: System.Net.Http.StreamContent, Headers:
{
  request-id: 7d37ee56-8aa3-44fd-83e6-d5e85fb88fab
  client-request-id: 7d37ee56-8aa3-44fd-83e6-d5e85fb88fab
  x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"Central US","Slice":"SliceC","Ring":"4","ScaleUnit":"000","RoleInstance":"AGSFE_IN_11"}}
  Strict-Transport-Security: max-age=31536000
  Cache-Control: private
  Date: Fri, 25 Oct 2019 07:48:09 GMT
  Content-Length: 255
  Content-Type: application/json
}

Answer 1

@ wajeed-msft ответил на это в комментарии выше, но он прав - с делегированным разрешением доступа вы можете только клонировать (или получать доступ) команды, членами которых вы являетесь или владелец. Вам необходимо использовать Разрешение для приложений, если вам нужно клонировать команду, к которой вы не принадлежите.

Почему? Потому что это будет повышение привилегий. Если приложение с делегированным доступом может добавлять участников в другие команды, оно может добавлять пользователей в любую команду в клиенте без согласия владельцев команд.