Инструмент: почтальон
- Создано рекламное приложение Azure, которому предоставлено разрешение
Group.ReadWrite.All
только для приложения для приложения Microsoft Graph, приложение имеет стандартные разрешения делегирования как «Вход и чтение профиля пользователя в приложении Windows Azure Active Directory». - Запрошенный токен для api графика AzureAD в конечной точке https://login.windows.net/ с параметром ресурса "https://graph.windows.net ", используя потоки предоставления учетных данных клиента;
- Получил токен обратно
- Использовал токен и выполнил GET для пользователя OK
- Выполнил ПАТЧ для пользователя (модификация прошла успешно с HTTP-кодом 204);
Мне это кажется очень странным, почему приложение могло делать patch
для пользователя в лазурном объявлении, когда приложение предоставляется только Group.ReadWrite.All
в Microsoft Graph API?