Azure AD获取用户组遇未授权错误，Token未设置问题排查求助

阿华AIGC实验室

2026-5-15

解决Azure AD Graph API获取组时的"Not Authorized"及Token未设置问题

我之前也踩过类似的坑，帮你梳理下核心问题和解决步骤：

1. 先确认权限配置是否真的生效

你提到已经授予了所有权限并完成管理员同意，但还是要做几个关键检查：

确保你申请的是应用权限（不是委派权限）里的Group.Read.All或Directory.Read.All，并且确实完成了全局管理员同意（有时候界面显示同意，但实际可能因为缓存或配置延迟没生效，建议重新走一遍同意流程）。
注意：如果是后台服务获取组列表，必须用应用权限+客户端凭证流，而不是用户登录的委派流——委派流是代表当前用户去访问，而应用权限是应用自身拥有的权限。

2. 修复AuthenticationHelper的Token注入问题

你发现Token从未设置，这是核心原因！示例里的AuthenticationHelper大概率是为委派流设计的（依赖用户登录的Token），而你用应用权限的话，需要手动获取应用级别的AccessToken并注入到ActiveDirectoryClient中。

调整代码示例：

首先添加一个获取应用凭证Token的方法：

private async Task<string> GetAppLevelAccessTokenAsync()
{
    string tenantId = "你的租户ID";
    string clientId = "你的应用客户端ID";
    string clientSecret = "你的应用客户端密钥";
    string graphApiUrl = "https://graph.microsoft.com/";

    var authContext = new AuthenticationContext($"https://login.microsoftonline.com/{tenantId}");
    var clientCredential = new ClientCredential(clientId, clientSecret);
    var authResult = await authContext.AcquireTokenAsync(graphApiUrl, clientCredential);
    
    return authResult.AccessToken;
}

然后在获取组的代码里注入Token：

// 获取应用级Token
string accessToken = await GetAppLevelAccessTokenAsync();

// 初始化ActiveDirectoryClient
ActiveDirectoryClient client = AuthenticationHelper.GetActiveDirectoryClient();

// 将Token附加到请求头
client.HttpClient.DefaultRequestHeaders.Authorization = new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", accessToken);

// 后续的组获取逻辑
IPagedCollection<IGroup> pagedCollection = await client.Groups.ExecuteAsync();
do {
    List<IGroup> directoryGroups = pagedCollection.CurrentPage.ToList();
    foreach (IGroup directoryGroup in directoryGroups) {
        roleList.Add((Group)directoryGroup);
    }
    pagedCollection = await pagedCollection.GetNextPageAsync();
} while (pagedCollection != null);

3. 检查API端点是否正确

如果你还在使用旧的Azure AD Graph端点（https://graph.windows.net），建议立刻迁移到Microsoft Graph（https://graph.microsoft.com/v1.0）——旧的Azure AD Graph已经被废弃，权限模型和新的Microsoft Graph不兼容，这也可能导致权限验证失败。

4. 异常排查小技巧

不要只看表层的"Not Authorized"或"One or more errors occurred"，一定要捕获并查看InnerException的详细信息，里面会有具体的错误码（比如insufficient_permissions、invalid_client），能帮你快速定位是权限问题还是Token获取问题。
先用Postman测试：用客户端凭证获取Token后，调用GET https://graph.microsoft.com/v1.0/groups，如果Postman能成功，说明是代码里的Token传递问题；如果Postman也失败，那就是Azure AD的权限配置还没生效。

内容的提问来源于stack exchange，提问作者Stuart Frankish