Проблемы с профилями пользователей Delve и получением данных с помощью Graph API

Question

Я обнаружил пару проблем с профилем Delve и Microsoft Graph API.

Проблема 1: Пользователи не могут обновить рабочий телефон через интерфейс Delve, только администраторы могут через панель администратора.

Проблема 2: С помощью Graph я могу получить рабочий телефон и мобильный телефон только от некоторых пользователей.Шаблон, который я вижу, заключается в том, что я могу получить свойства для старых пользователей (они были перенесены из локальной AD).Но более новые пользователи (некоторые с 4-летними учетными записями), у которых свойство Mobile Phone уже давно заполнено, возвращают нулевые значения.

Я проверил это на нескольких изолированных арендаторах.В другом клиенте, у которого свойство «Рабочий телефон» заполнено для всех пользователей, он всегда возвращает пустые значения для свойства businessPhones через Graph.

Я проверял это через интерфейс Graph Explorer, Graph .Net SDK и руководствоЗапросы ReST, всегда с одинаковыми результатами.

Дальнейшие тесты, которые мы провели:

По сравнению с 3 пользователями на ИБП, у которых заполнены свойства Мобильный телефон и Рабочий телефон.

Iзапустить Get-AzureADUser -ObjectId "пользователь" |выберите * со следующими результатами:

Пользователь 1: возвращает WorkPhone и MobilePhone.Пользователь 2: возвращает WorkPhone.Мобильный телефон пуст.Пользователь 3: WorkPhone и MobilePhone пусты.

Когда значение возвращается через PowerShell, график также возвращает его.

Спасибо, Мигель

Answer 1

Я связался с менеджером продукта API пользователей.Мы частично вернули исправление безопасности, которое вызывало эту проблему.Это исправление безопасности было сделано, потому что приложение с возможностью записи пользователей могло обновлять пользовательские свойства администратора (телефон, мобильный телефон и другие почтовые сообщения), которые используются системой самообслуживания сброса пароля (SSPR).Затем пользователь может использовать SSPR для проверки в качестве этого администратора и сбросить пароль этого администратора.

Эти свойства снова могут быть обновлены для любого пользователя, кроме пользователей с более привилегированными ролями.По сути, мы должны убедиться, что пути повышения привилегий не существует.Есть обновление в ожидании документов.Мы проводим активную проверку нового разрешения (только приложение и приложение + пользователь), которое позволяет ВСЕМ пользователям обновлять эти свойства.В настоящее время нет ETA для этого выпуска.

Answer 2

Согласно вашему описанию, я предполагаю, что вы хотите получить профиль пользователя.

На основании моего теста мы можем использовать конечную точку GET /users/{id | userPrincipalName} для получения служебного телефона пользователя (но не рабочего телефона)и мобильный телефон.

Ниже мой результат теста: