Microsoft Azure AD Graph API для добавления члена в группу

Question

При попытке добавить участников в группу с помощью Microsoft graph API удалось добавить участника в группу, владельцем которой является Владелец приложения, но не в группу, созданную другим участником.

Когда я пытаюсь добавить участника в группу, а владелец приложения не является владельцем группы, я получаю следующую ошибку

{
    "error": {
        "code": "Authorization_RequestDenied",
        "message": "Insufficient privileges to complete the operation.",
        "innerError": {
            "request-id": "2c5a99ff-70XXXXXXXXXXXXXXXXX",
            "date": "2X-XX-XXXX 23:42:54"
        }
    }
}

Это разрешения, предоставленные API приложения

Может кто-нибудь помочь мне понять, как добавление члена в группу работает с Azure? только владелец группы сможет добавить участника в группу? Есть ли какая-либо конфигурация, которую необходимо включить для приложения, чтобы владелец приложения мог добавить члена в любую группу?

Answer 1

Если вы используете делегированные разрешения, эффективными разрешениями токена будут комбинированные разрешения приложения и пользователя. Если у пользователя нет необходимой роли / владельца, ваше приложение также не сможет это сделать.

Если вашему приложению нужно работать с большим количеством разрешений, чем у пользователя, вам нужно будет использовать разрешения приложения вместо делегированных разрешений. Чтобы использовать разрешения приложения, бэкэнд вашего приложения должен получать токены, используя поток учетных данных клиента, который не включает пользователя. В этом случае имеют значение только разрешения приложения, делегированные разрешения не будут действовать.