修复 MgGraph 中权限不足无法完成操作的问题

在本教程中，我将向您展示如何解决在 Microsoft Graph 中运行命令（例如 Get-MgUser）时出现的以下错误：

调用 MgGraph 命令时权限不足，无法完成操作。

与常见的 PowerShell 模块（MSOnline 和 AzureAD）不同，当您通过 Microsoft Graph 连接到租户时，租户中的用户帐户不仅需要正确的权限级别才能完成任务，而且还必须在连接时定义权限范围。我在我的文章中提供了这方面的示例：如何安装 Microsoft Graph PowerShell 模块。如果您没有或没有执行这些操作，您可能会收到上面以粗体突出显示的错误。

希望在本文结束时，您将能够使用 Microsoft Graph PowerShell 成功连接到您的环境并运行您需要运行的相关命令。

确定您需要什么权限

您应该首先决定完成任务所需的权限。例如，您知道如果您只想导出与租户中的组有关的信息并且不需要进行任何修改，则您将需要对组的读取权限。

在 Microsoft Graph 中，您需要的权限定义为范围，因此您需要确定为您提供对组的读取访问权限的范围的名称，以便您可以在连接到租户时在脚本中定义该名称。

确定所需的权限使用 Microsoft Graph 浏览器

您可以在此处打开图形浏览器工具并使用您的租户登录凭据登录。然后您可以使用预定义的命令来查询您的租户。您将立即看到错误“没有足够的权限来完成操作。”。选择“修改权限”选项卡，它将出售所有可选权限，供您运行命令/查询。

您可能无法在 Graph Explorer 中找到符合您需求的预定义查询可供选择。如果是这样，您可以使用 Microsoft Graph REST API 参考文档来查找您的查询，它通常会在同一页面上显示必要的权限。例如：https://learn.microsoft.com/en-us/graph/api/group-list?view=graph-rest-1.0

使用正确的权限连接到 Microsoft Graph PowerShell

现在假设我们希望使用 Microsoft Graph PowerShell SDK 列出租户中的所有组，我们需要执行以下操作。

1.打开PowerShell并导入Microsoft Graph Groups模块

import-module Microsoft.Graph.Groups

2. 运行 Connect-MgGraph cmdlet，并定义 group.read.all 权限范围

 connect-MgGraph -Scopes "group.read.all"

如果要定义多个作用域，可以这样做

 connect-MgGraph -Scopes "group.read.all","directory.read.all"

3. 现在运行 Get-MgGroup cmdlet

Get-MgGroup