尝试使用应用程序权限更新( PATCH
)用户的 mobilePhone
属性时,Graph的响应为"Insufficient privileges to complete the operation"( Authorization_RequestDenied
) .
授予 User.ReadWrite.All
和 Directory.ReadWrite.All
权限 . 通过 client_credentials
grant(oauth2 / v2.0 / token endpoint)请求访问令牌,并指定 .default
范围,并且访问令牌中的 role
声明中都存在这两个权限 .
更新其他属性工作正常 . 仅当更新 mobilePhone
属性且仅具有应用程序权限时才会出错(使用带有管理员用户的图形资源管理器) .
此行为突然在10月2日2018年开始 . 在此之前,更新移动电话属性也适用于应用程序权限(相同的权限) .
据我所知,没有为用户 PATCH
请求或 mobilePhone
属性的Graph文档添加新的限制/所需权限 . 这可能是什么问题?
注意:请求是使用Microsoft.Graph.GraphServiceClient(.NET标准)进行的,但使用Postman发出请求时也是如此 .
EDIT:
这是Graph API的响应:
{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"request-id": "e956cb0b-af0a-4bb7-aae3-59d39d007a82",
"date": "2018-10-11T08:27:19"
}
}
}
1 回答
我们的团队遇到了同样的问题,我们向Microsoft提出了支持请求并解决了该问题 .
解决方案是将 Helpdesk Administrator 角色添加到 Service Principal/Enterprise application .
Microsoft更改了更新PII的安全策略,并更改了允许更新的安全角色 .
以下是我们的支持请求答案: