Что я делаю не так, чтобы заставить group.selected работать в графе API?

Question

В настоящее время я пытаюсь реализовать приложение для чтения календарей только для группы, которая разрешена для приложения. Идея заключается в том, что когда я хочу добавить другой календарь, все, что мне нужно сделать, это добавить объект в указанную группу c o365. Я использую подход приложения к делегированию таким образом, что у меня нет ничего, чтобы войти в систему, чтобы использовать приложение. В конечном итоге я бы хотел остаться в стороне от любых разрешений * .All по соображениям безопасности.

Предпринятые шаги: - создана группа o365 - добавлены объекты ресурсов и одна учетная запись службы пользователя (только для тестирования) в группу - зарегистрированное приложение - сгенерированный секрет - назначенная для приложения группа - предоставленное согласие администратора для groups.selected через azure portal

Когда я запускаю GET для группы / {id} / members:

{'error': {'code': 'Authorization_RequestDenied', 'message': 'Insufficient privileges to complete the operation.', 'innerError': {'request-id': '473410a8-4db4-49d6-8d2c-92b9fbd4edb1', 'date': '2020-03-05T14:59:28'}}}

Answer 1

Согласно документам https://docs.microsoft.com/en-us/graph/api/group-list-members?view=graph-rest-1.0&tabs=http

Если вы используете разрешения приложения для получения участников для группы. вам понадобится User.Read.All, Group.Read.All, Directory.Read.All.

Обычная проблема - не предоставление этих разрешений приложению на портале. azure .com и администратор, дающий на это согласие .

Если вы уверены в этом. Тогда я бы исключил ваш код как проблему, используя что-то вроде почтальона с идентификатором вашего приложения и секретом клиента. У нас есть образец коллекции Почтальона здесь https://docs.microsoft.com/en-us/graph/use-postman. для делегированных разрешений вы можете использовать нашу площадку Graph Explorer.