使用Graph API创建O365组后没有管理员权限

是因为在创建组时没有指定管理员角色。在O365中，组可以有不同的角色，如成员、所有者和管理员。管理员角色具有对组进行管理和配置的权限。

要解决这个问题，可以通过以下步骤来创建具有管理员权限的O365组：

使用Graph API创建组时，确保在请求中指定管理员角色。可以使用以下示例代码：

POST /v1.0/groups
Content-type: application/json

{
  "displayName": "My Group",
  "groupTypes": ["Unified"],
  "mailEnabled": true,
  "mailNickname": "mygroup",
  "securityEnabled": false,
  "owners@odata.bind": [
    "https://graph.microsoft.com/v1.0/users/{owner-id}"
  ],
  "members@odata.bind": [],
  "groupLifecyclePolicies": [
    {
      "groupLifetimeInDays": 30,
      "managedGroupTypes": [
        "Unified"
      ]
    }
  ],
  "assignedLabels@odata.bind": [
    "https://graph.microsoft.com/v1.0/groupSettings/{label-id}"
  ],
  "roles": [
    "Owner",
    "Member",
    "Admin"
  ]
}

在上述示例中，"roles"字段指定了组的角色，包括"Owner"、"Member"和"Admin"。确保在请求中包含"Admin"角色。

创建组后，管理员可以使用Graph API或其他适当的方法将其他用户添加为组的管理员。例如，可以使用以下示例代码将用户添加为组的管理员：

POST /v1.0/groups/{group-id}/owners/$ref
Content-type: application/json

{
  "@odata.id": "https://graph.microsoft.com/v1.0/users/{user-id}"
}

在上述示例中，"{group-id}"是组的唯一标识符，"{user-id}"是要添加为管理员的用户的唯一标识符。

确保在创建组时使用的身份验证凭据具有足够的权限来执行所需的操作。如果使用的是应用程序凭据，确保为该应用程序授予了适当的权限。

通过以上步骤，您将能够使用Graph API创建具有管理员权限的O365组。请注意，这只是一个示例，具体的实现可能因您的环境和需求而有所不同。

相关·内容

腾讯云中关于授权子用户QCloudResourceFullAccess权限后使用api接口创建购买cvm没有支付权限的解决办法

最近发现腾讯云中授权子用户权限QCloudResourceFullAccess后子用户无法通过api接口支付cvm的订单，错误提示 [TencentCloudSDKException] code:...UnauthorizedOperation message:由于您没有支付权限，无法完成支付，请开通后再试如果给于QCloudFinanceFullAccess该策略允许您管理账户内财务相关的内容，例如...该策略则权限过大不符合要求. ? 问题再次转到QCloudResourceFullAccess这个策略该策略的描述是该策略允许您管理账户内所有云服务资产。...deny", "action": "finance:*", "resource": "*" } ] } 发现又直接deny了所有的财务权限...也没有说明，所有授权这条策略后通过api接口创建cvm订单没有支付权限的可以去掉这条权限即可！

2.1K1 0

CRT：一款针对Azure的CrowdStrike安全报告工具

该工具会在Azure AD/O365 租户中查询以下配置，并帮助广大研究人员寻找一些跟权限和配置有关的安全信息，以帮助组织更好地保护Azure环境的安全性。...（GAL）中隐藏的邮箱收集管理员审核日志记录配置设置 Azure AD 拥有KeyCredentials的服务主体对象 O365管理员组报告代理权限和应用程序权限查询租户合作伙伴信息：要查看租户合作伙伴信息...（Global Admin）当全局管理员权限不可用时，该工具将通知你哪些信息将因此而不可用。...工具下载广大研究人员可以使用下列命令将该项目源码克隆至本地： git clone https://github.com/CrowdStrike/CRT.git 工具使用如果没有指定运行参数的话...，工具将在运行脚本的目录中自动创建名为日期和时间（YYYYDDMMTHHMM）的文件夹。

9762 0

TeamFiltration：一款针对O365 AAD账号安全的测试框架

关于TeamFiltration TeamFiltration是一款针对O365 AAD账号安全的跨平台安全测试框架，在该工具的帮助下，广大研究人员可以轻松对O365 AAD账号进行枚举、喷射、过滤和后门植入等操作...下载完成并解压文件后，将会得到一个单独的可执行应用程序，直接运行即可。 ...工具使用创建你的JSON配置文件先下载fireprox项目： git clone https://github.com/ustayready/fireprox cd fireprox 然后将...AAD users and groups via MS AD Graph API [EXFIL] 24.05.2021 12:35:58 EST Exfiltrating AAD users and...groups via MS graph API [EXFIL] 24.05.2021 12:35:59 EST Got 133 AAD users, appending to database as valid

6611 0

Microsoft Sentinel （一）服务概述与数据源配置

· 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁，并最大限度地减少误报。...Azure AD 连接器包含以下三个其他类别的登录日志： o 非交互式用户登录日志，包含了客户端代表用户进行登录的信息，没有来自用户的任何交互或身份验证因素。...任何 Azure AD 许可证（免费/O365/P1/P2）均足以引入其他日志类型。对于日志引入的数据量，会按每 GB 收取额外的费用。...3、必须在要从中流式传输日志的租户上为用户分配全局管理员或安全管理员角色。 4、用户必须具有对 Azure AD 诊断设置进行读取和写入的权限，才能查看连接状态。...4、成功建立连接后，数据将显示在“日志管理”部分下的“日志”中，如下表：

9522 0

广州 office365的开发者训练营交流活动简报

作为一名开发人员，您可以使用每天使用的工具创建智能、连接的产品和解决方案。 Office 365 开发者训练营是一个免费的，为期一天的培训活动，由微软MVP领导，并得到微软的支持。...我们将在Office 365平台上为最新和最伟大的技术和产品(Microsoft Graph、SharePoint Framework、Microsoft团队、Office Addin、 Connect...使用 REST 和 OpenID 获取连接Token并连接到 Microsoft Graph, 并创建请求其他权限的 web 应用程序：在这个主题分享中，我更多的是从OpenId connect规范...使用动手实验深入研究：您将使用各种流行的JavaScript工具和框架（包括TypeScript，React，Angular和VueJS）来构建Office加载项：广州.NET俱乐部负责人叶伟民在这个大主题分享中带领大家从零开始开发一个...Word，Excel插件，带领大家趟过无数地雷成功开发插件部署上O365上。

8873 0

最新攻略：免费申请 Office365 开发者帐号，带25帐户的E3企业版，终生可续

这个试用订阅是全局管理，Office 365 E3 级帐户，能够支持 Office 桌面版，可创建25个账号，每个账号可同时在6台电脑上使用！...并且，每个账号（除管理员帐号默认为 1TB 外）均可以获得最高 5TB 的 OneDrive 存储空间！...移表盘地址如下： https://developer.microsoft.com/zh-cn/office/profile 隐私微软会使用一组算法和遥测来确定您是否正在积极开发（寒树将来会持续关注）...建议勾选连接体验后，会有受邀客户才能访问的服务。您可以仅在邀请的基础上访问服务元素，例如，作为使用预发布服务和向我们提供反馈的程序的一部分（例如，通过“连接”门户）。...v=StorageSettings 声明注意，这个方法可是官方授权的，所以是全局管理员权限，让你踏踏实实用的放心。

30.2K4 2

一文读懂图数据库 Nebula Graph 访问控制实现原理

当用户通过 Client API 发送操作指令后，Query Engine 首先对此指令做语法解析，识别操作类型，通过操作类型、用户角色等信息进行权限判断，如果权限无效，则直接在 Query Engine...ADMIN：基于 Space 的高级管理员，拥有此 Space 之内的所有管理权限，但对整个集群则没有管理权限。...DBA：数据库管理员，可以对权限内的 Space 进行管理，例如对 Schema / Data 进行修改和查询。...USER：普通的数据库使用角色。可读写 Data，可读 Schema 但没有写权限。 GUEST：访问者角色，对权限内 Space 的 Schema 和 Data 有只读权限。...登录成功后，Nebula Graph Server 会为此连接初始 Session ID，并将 Session ID、用户信息、权限信息和 Space 信息一起加载到 Session 结构中。

1.2K3 0

Office开发者计划-永久白嫖Office365

登录账号，随后填充信息即可确认完成，设置E5沙盒（可自定义配置），设置完成则可看到下述内容安装并激活Microsoft365 方式1：可点击上述仪表盘中的转到订阅，随后使用刚刚生成的管理员账号登录...，进入页面则可下载需要的内容方式2：使用Office Tool Plus工具安装部署安装完成则可登录账号正常激活软件（需要通过上述应用构建的开发者账号（管理员）进行登录），登录之后需要结合提示...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

8.8K3 2

office365 E5调用api使E5开发者续订修复版AutoApi （不使用服务器）

microsoft graph的api，一次调用10个api，5个onedrive的api还有4个outlook的api,剩下一个是组的api，调用一次后延时等待五分钟再重复调用。...,notebook,site等创建系api: 自动发送邮件，上传文件，修改excel等步骤准备工具： E5开发者账号（非个人/私人账号） 管理员号 ———— 必选子号 ———— 可选（不清楚微软是否会统计子号的活跃度...API里的Microsoft Graph(就是那个蓝色水晶)，点击委托的权限，然后在下面的条例搜索以下12个最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...，点击代表授予管理员同意现在把前期准备的rclone软件掏出来打开 rclone.exe 所在文件夹，shift+右键，在此处打开powershell，输入下面修改后的内容，回车后跳出浏览器，...流程 -> build -> run api 就能看到每次的运行日志（必需点进去build里面的run api.XXX看下，api有没有调用到位，操作有没有成功，有没有出错） image 再点两次星星

7.1K1 1

open-falcon部署前端和后端

] 11191 [falcon-alarm] 11198 启动后，再次检查各模块是否正常 # ....UP 11191 falcon-alarm UP 11198 使用方法如下 # ....start falcon-dashboard started..., pid=36988 停止 bash control stop 查看日志 bash control tail 注意： dashbord没有默认创建任何账号包括管理账号...想拥有管理全局的超级管理员账号，需要手动注册用户名为root的账号（第一个帐号名称为root的用户会被自动设置为超级管理员）。超级管理员可以给普通用户分配权限管理。...)/graph?

1.8K3 0

SonarQube系列-全面了解认证&授权的配置，基于权限模块快速授权用户-群组-项目

强制用户身份验证可防止匿名用户通过Web API访问Sonar Qube UI或项目数据。一些特定的只读Web API，包括提示身份验证所需的API，仍然可以匿名使用。...可以根据需要创建任意数量的用户和用户组。然后，可以将用户附加到（或不附加）到（多个）组。然后向组和/或用户授予（多个）权限。这些权限授予对项目、服务和功能的访问权限。...使用sonar扫描新项目后，如果要做角色管理，可以在sonarqube控制台为项目指定权限模板以分配角色权限，但是每次扫描新项目都通过手动添加，特别是项目多的情况下，显然是不方便的。...如果之前没有进行这样的设置，过去创建的扫描项目不会默认继承这样的关系，必须重新手动进行授权。...请注意，项目和权限模板之间没有关系，这意味着：将权限模板应用于项目后，可以修改项目的权限。修改权限模板时，不会更改任何项目权限。「3.

9624 0

PwnAuth——一个可以揭露OAuth滥用的利器

大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。在本例中，应用程序可能会请求访问OneDrive文件和用户配置文件。...3.同意后，授权服务器将使用授权码重定向应用程序。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...我创建了一组脚本来帮助管理员在云环境中搜索恶意OAuth应用程序。目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。

1.7K2 0

webpack带来的安全风险

招新小广告 ChaMd5 ctf组长期招新尤其是reverse+pwn+合约的大佬欢迎联系admin@chamd5.org 最近在资产收集过程中，发现越来越多的vue应用，大部分会使用webpack...进行打包，如果没有正确配置，就会导致vue源码泄露。...它会递归构建一个依赖关系图（dependency graph）,其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。...可以直接使用浏览器的调试模式进行查看，我们对vue的源码泄露并没有什么兴趣，感兴趣的是泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。下图泄露了全部的API。 ?...很多vue应用都是先渲染页面再判断是否登陆，根据这个小缺陷，我们首先可以查看相关功能，或者利用Burpsuite修改验证用户的返回包，然后爬虫爬一下API，分析一下参数，偶尔会遇到没有权限验证的接口，或者会有注入

3.9K5 0

ACP互联网架构认证笔记-CSB云服务总线

API 消费者可以创建多个 API 消费凭证，每个凭证可被一个或一组 API 消费方应用使用，通常可以把凭证作为 API 消费方应用的分组。...用户、实例、群组在 CSB 中，用户是对等的，没有从属概念，只有授权关系。每个用户都可以拥有属于自己的一个或多个 CSB 实例，具有这些 CSB 实例的管理员权限。...用户在取得某个 CSB 实例的访问使用权限后，即可以在该实例上发布或者订阅服务。服务的发布者就是该服务的拥有者，可以审批授权其它用户对该服务的订阅申请。...指定服务发布审核人后，所有在该实例上的服务发布都要经过该审核人的批准后才会生效。用户在取得某个 CSB 实例的访问使用权限后，可以在该实例上订阅服务。...需要在要发布的目标实例上预先创建一个服务组，该服务组名称必须与当前发布的服务（源服务）所选择的服务组相同。这么做的目的是可以在目标实例上根据这个服务组（及这个组的所属用户）找到这个级联服务。

1.6K3 0

Zabbix配置动作执行远程命令和发送邮件

如果问题两个小时之内没有确认，则会将在两个小时之后每隔十五分钟一次通知zabbix管理组，共发送两次消息 ?...=/usr/lib/zabbix/alertscripts 修改完成后重启zabbix-server 在/usr/lib/zabbix/alertscripts目录下添加要使用的报警脚本并给邮件授予执行权限...chmod +xzabbix_send.py 创建一个graph目录，并授予权限 mkdir graphchmod 777 -R graph ?...配置完成后，使用zabbix-get测试是否可以运行远程命令，如果返回数据，则表示远程命令可用 zabbix_get -s 192.168.179.132 -k "system.run[sudo df...触发报警这里关闭ssh服务，使报警触发 systemctlstop sshd 报警触发，两分钟后执行脚本这里可以使用zabbix-get来获取监控的值。

1.8K2 0

案例分析：利用OAuth实施钓鱼

其实，整个攻击大致可以分为以下几个步骤： 1、创建一个应用Sappo 2、利用该应用创建一个申请授权的链接（SCOPE） 3、用户给应用Sappo授权后，获取AuthCode 4、利用AuthCode获取...accessToken 5、使用accessToken以API请求的方式获取所有资源下面就是详细的步骤了。...为了更直观的演示整个过程，接下来在Sappo上创建一个app，用来作为end-point，我们将这个app命名为”MS PRO O365 AntiSpam”，目的是模仿AntiSpam Pro免费版，这样用户在查看的时候...经过解码后的数据如下图所示： ? scp中规定了我们的应用已经申请的权限。...万事都要从安全性出发，没有了安全性，估计也没有人敢用你的产品和服务吧？当然，如何对应用进行限制，也是值得我们进行深入研究的。

2K9 0

openfalcon架构及相关服务配置详解

/open-falcon monitor graph 2.配置文件部署完graph组件后，请修改transfer和api的配置，使这两个组件可以寻址到graph。.../open-falcon monitor api 2.相关配置部署完成api组件后，请修改dashboard组件的配置、使其能够正确寻址到api组件。.../api/data/metric", "web_port": ":8080", // http监听端口 "access_control": true, // 如果设置为false，那么任何用户都可以具备管理员权限...以生产环境启动 bash control start #停止dashboard运行 bash control stop #查看日志 bash control tail 2,.相关配置文件 dashbord没有默认创建任何账号包括管理账号...想拥有管理全局的超级管理员账号，需要手动注册用户名为root的账号（第一个帐号名称为root的用户会被自动设置为超级管理员）。超级管理员可以给普通用户分配权限管理。

1.4K2 0

Red-Team-Tools开源C2开发后框架列表

服务来建立C2通信通道.它使用Microsoft Graph API与O365服务进行通信. https://github.com/3xpl01tc0d3r/Callidus 5....灵活性和团队合作精神.其针对API的设计为通过任何文件记录良好的REST和Socket.IO API与可以说其语言的任何代理之间的任何传输方法进行安全通信提供了基础.目前,Faction仅支持.NET负载和模块...开发后框架具有基于角色的访问控制系统,可以使用SQL查询来查询数据！...Koadic：Koadic是使用Windows Script Host的开源,开发后鼠又是远程访问木马.通过COM接口进行大多数操作.由于它使用VBScript / JScript,因此它具有内置的支持...Silver:这是最近的C2开发后框架之一.Sliver是一种跨平台植入程序框架,该框架通过Mutual-TLS,HTTP(S)和DNS支持C2.植入物是使用唯一的X.509证书动态编译的,该X.509

3.1K1 0

49张图带领小伙伴们体验一把 Flowable-UI

为所有 Flowable UI 应用提供单点登录认证功能，并且为拥有 IDM 管理员权限的用户提供了管理用户、组与权限的功能。...3.3 权限控制我们前面创建的用户现在是没有任何权限的，例如现在如果使用 zhangsan/123 进行登录，登录成功后页面是空的，没有任何东西：所以我们要为用户添加相应的权限。...点击顶部的权限控制一栏，如下：我们可以为这五种访问分别设置对应的用户/用户组：访问 idm 应用：这个就是访问身份管理应用，如果用户没有访问这个的权限，那么用户在登录成功的后的首页上就看不到身份管理应用程序这个菜单项...访问 admin 应用：这个是访问管理员应用程式，如果没有没有这个的访问权限，那么用户在登录成功之后的首页上就看不到管理员应用程式这个菜单项。...访问 REST API：这个是指用户通过 REST API 访问工作流的权限。

1.1K2 0

01 . Openfalcon小米监控简介及部署

(这点很大程度上解决了，Transfer中可以配置Graph双写，手工维护双写列表麻烦，但这个列表基本不怎么变) Graph扩容有损，报警没有入库，当前未恢复的报警是存在Alarm内存中的，重启就丢了...报警现场没有保存: 因为使用rrd存储历史数据，一天后数据就被做了归档处理，查看历史报警时刻趋势图，无法查看当前准确值....API面向终端用户，收到查询请求后，会去多个graph里面，查询不同metric的数据，汇总后统一返回给用户. 存储对于监控系统来讲，历史数据的存储和高效率查询，永远是一个很难的问题!...stop # 查看日志 bash control tail # 可以修改一下wsgi.py配置文件，指定IP和端口，默认是0.0.0.0 Dashbord 用户管理 dashbord 没有默认创建任何账号包括管理账号...想拥有管理全局的超级管理员账号，需要手动注册用户名为 root 的账号（第一个帐号名称为 root 的用户会被自动设置为超级管理员）。超级管理员可以给普通用户分配权限管理。

4.3K4 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云