Невозможно добавить участников в группу O365 с разрешением Group.ReadWrite.All

Question

Невозможно добавить участников в группу с разрешениями Group.ReadWrite.All.

Я создал токен на предъявителя для графа, имеющего область действия Group.ReadWrite.All & User.Read. Я попытался вызвать приведенный ниже график API, который добавляет члена в группу. Токен создается с участником пользователя, имеющим членство владельца в запрошенной группе.

Но я могу выполнять другие действия в группе, кроме добавления / удаления участников.

POST https://graph.microsoft.com/v1.0/groups/{groupid}/members/$ref
{
    "@odata.id": "https://graph.microsoft.com/v1.0/users/{userid}"
}

также пробовал с нижней частью тела

{
    "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{userid}"
}

ошибка получена: недостаточно прав для завершения операции.

Answer 1

Чтобы добавить или удалить члена группы (или владельца), вам необходимо и Group.ReadWrite.All и User.ReadBasic.All (как минимум, хотя вы также можете сделать это с User.Read.All).

Один из способов посмотреть на это - вам нужно разрешение на обновление группы и разрешение на чтение объекта, который вы добавляете в группу.