无法通过 Graph API 主动安装 Microsoft 团队应用程序

Question

我正在尝试主动安装我的 Teams 应用程序，该应用程序仍在开发中，Microsoft 尚未完全发布。我已将其安装到 Teams 管理中心的 Teams 组织中。当我尝试在测试用户的个人范围内安装该应用程序时，我收到以下消息（不包括我的 azure 应用程序 ID）：

{
    "error": {
        "code": "Forbidden",
        "message": "AAD App Id {My azure app ID} is not allowed to manage the Teams App '8782dd91-2afe-45e9-8906-858553f7675c'.",
        "innerError": {
            "date": "2021-09-12T21:19:56",
            "request-id": "b50af1b2-b697-403f-b0be-4f66486f4ac1",
            "client-request-id": "b50af1b2-b697-403f-b0be-4f66486f4ac1"
        }
    }
}

我发送的请求：

POST https://graph.microsoft.com/v1.0/users/{{USERID}}/teamwork/installedApps

身体：

    "teamsApp@odata.bind": "https://graph.microsoft.com/v1.0/appCatalogs/teamsApps/8782dd91-2afe-45e9-8906-858553f7675c"
}

可能是什么问题？在我的应用程序的开发人员门户 ( https://dev.teams.microsoft.com/apps/ ) 中，我的 Teams 应用程序的应用程序客户端 ID 设置为正确的 Azure 应用程序 ID，因此不确定为什么不允许这样做在此处主动安装 Teams 应用程序。

谢谢！

Answer 1

通过向客户端租户（团队用户的租户）上的TeamsAppInstallation.ReadForUser.AllAzure AD 应用程序授予权限，我已经能够在类似的设置中成功进行此调用。

更新

抱歉，事实上事实比这更疯狂。事实证明，只有当我的应用程序需要（并获得）权限时，我才会收到此错误TeamsAppInstallation.ReadWriteSelfForUser.All。

没错：通过获得一项额外的许可，您的能力就会减少。我想只有微软才能做到这一点

原文 TL;DR

Azure AD 应用程序权限似乎无法可靠传播。在客户端租户上重新安装应用程序可能会有所帮助。

我所说的安装是指以管理员身份进入 Azure 门户，Enterprise Applications选择应用程序，然后单击Grant admin consent for <...>。

原始细节

根据记录，我在另一个端点上遇到了相同的错误（尝试列出聊天）。但经过以下流程后，Microsoft Graph 接受了调用！

1. 删除了Azure AD应用程序的所有权限
2. 该应用程序仍然能够列出客户端租户中的 Teams 安装
3. 向应用程序添加了虚拟权限，因此我可以在客户端租户上重新安装它
4. 现在，MS Graph 拒绝了列出 Teams 安装的调用
5. 添加回单一权限TeamsAppInstallation.ReadForUser.All
6. 再次在客户端租户上重新安装
7. 现在两个通话（列出团队安装、列出聊天）都可以工作

祝你好运