发出Group.ReadWrite.All权限范围

Question

我正在玩微软图形Group.ReadWrite.All授权权限范围。Azure AD应用程序配置有此权限。

由于它是一个委托权限，授予应用程序的权限将是由作用域授予的权限和已登录用户拥有的权限的最小特权组合(交集)。

在管理员同意应用程序后，我使用了普通用户凭证并检索了令牌。有了这个标记，我可以更新私有Office 365组的成员，即使用户不是该私有组中的管理员。

这种行为似乎是不正确的。请澄清。

Answer 1

因此，当您使用委托权限时，应用程序具有与登录用户相同的权限，进一步受到授予应用程序的权限的限制。在这种情况下，您对权限的交集是正确的--允许应用程序更新私有组的成员资格，但前提是登录用户也能够更新私有组的成员资格。在这种情况下，如果用户不是组的管理员，那么应用程序就不能通过API更新组成员资格(在这个用户签名的上下文中)。

更新:我能复制这个。当前(通过API)私有成员可以将其他成员添加到组中。我怀疑您在测试中的用户是该小组的成员。(非会员不能将成员添加到私有组中。)我们目前正在研究解决这个问题的办法。

希望这能帮上忙