Rin*_*dsR 6 azure-active-directory microsoft-graph
当尝试使用应用程序权限更新(PATCH)用户的mobilePhone属性时,Graph的响应是"没有足够的权限来完成操作"(Authorization_RequestDenied).
无论是User.ReadWrite.All和Directory.ReadWrite.All授予权限.通过client_credentials授权(oauth2/v2.0/token端点)请求访问令牌,并指定.default范围,并且role访问令牌中的声明中存在两个权限.
更新其他属性工作正常.仅在更新mobilePhone属性且仅具有应用程序权限时才会出错(使用带有管理员用户的图形资源管理器).
此行为突然在10月2日2018年开始.在此之前,更新移动电话属性也适用于应用程序权限(相同的权限).
据我所知,没有新的限制/所需权限添加到用户PATCH请求或mobilePhone属性的Graph文档中.这可能是什么问题?
注意:请求是使用Microsoft.Graph.GraphServiceClient(.NET标准)进行的,但使用Postman发出请求时也是如此.
编辑:
这是Graph API的响应:
{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"request-id": "e956cb0b-af0a-4bb7-aae3-59d39d007a82",
"date": "2018-10-11T08:27:19"
}
}
}
小智 5
我们的团队遇到了同样的问题,我们向 Microsoft 提出了支持请求并解决了该问题。
解决方案是将帮助台管理员角色添加到服务主体/企业应用程序。
Microsoft 更改了更新 PII 的安全策略并更改了允许更新的安全角色。
以下是我们的支持请求回答中的更多内容:
发生这种情况的原因是最近由于新的 PII 敏感性问题而发生了变化。
因此,现在您需要将 Helpdesk 管理员角色添加到 Service Principal/Enterprise 应用程序。
您可以按照此处的文章执行此操作:https : //blogs.msdn.microsoft.com/aaddevsup/2018/08/29/how-to-add-an-azure-ad-role-to-a-enterprise-应用服务主体/
这是修改值,例如:mobile/othermails/telephonenumber 属性。
| 归档时间: |
|
| 查看次数: |
671 次 |
| 最近记录: |