首页 文章

Microsoft Graph API尝试更新时功能不足'mobilePhone'

提问于
浏览
5

尝试使用应用程序权限更新( PATCH )用户的 mobilePhone 属性时,Graph的响应为"Insufficient privileges to complete the operation"( Authorization_RequestDenied ) .

授予 User.ReadWrite.AllDirectory.ReadWrite.All 权限 . 通过 client_credentials grant(oauth2 / v2.0 / token endpoint)请求访问令牌,并指定 .default 范围,并且访问令牌中的 role 声明中都存在这两个权限 .

更新其他属性工作正常 . 仅当更新 mobilePhone 属性且仅具有应用程序权限时才会出错(使用带有管理员用户的图形资源管理器) .

此行为突然在10月2日2018年开始 . 在此之前,更新移动电话属性也适用于应用程序权限(相同的权限) .

据我所知,没有为用户 PATCH 请求或 mobilePhone 属性的Graph文档添加新的限制/所需权限 . 这可能是什么问题?

注意:请求是使用Microsoft.Graph.GraphServiceClient(.NET标准)进行的,但使用Postman发出请求时也是如此 .

EDIT:

这是Graph API的响应:

{
    "error": {
        "code": "Authorization_RequestDenied",
        "message": "Insufficient privileges to complete the operation.",
        "innerError": {
            "request-id": "e956cb0b-af0a-4bb7-aae3-59d39d007a82",
            "date": "2018-10-11T08:27:19"
        }
    }
}
azure-active-directory microsoft-graph

1 回答

  • 1

    我们的团队遇到了同样的问题,我们向Microsoft提出了支持请求并解决了该问题 .

    解决方案是将 Helpdesk Administrator 角色添加到 Service Principal/Enterprise application .

    Microsoft更改了更新PII的安全策略,并更改了允许更新的安全角色 .

    以下是我们的支持请求答案:

    之所以发生这种情况,是因为最近由于新的PII敏感性问题而发生了变化 . 因此,现在您需要将Helpdesk管理员角色添加到Service Principal / Enterprise应用程序 . 您可以按照以下文章执行此操作:https://blogs.msdn.microsoft.com/aaddevsup/2018/08/29/how-to-add-an-azure-ad-role-to-a-enterprise- application-service-principal /这是修改诸如:mobile / othermails / telephonenumber属性之类的值 .

    回复于

相关问题