Microsoft Graph API Недостаточно прав при попытке обновить «мобильный телефон» - PullRequest
Новая
       10

Microsoft Graph API Недостаточно прав при попытке обновить «мобильный телефон»

0 голосов
/ 03 октября 2018

При попытке обновить (PATCH) пользовательское свойство mobilePhone с помощью разрешений приложения, ответ от Graph будет «Недостаточно прав для завершения операции» (Authorization_RequestDenied).

Оба *Разрешения 1006 * и Directory.ReadWrite.All предоставляются.Токен доступа запрашивается через грант client_credentials (oauth2 / v2.0 / конечная точка токена) с указанием области действия .default, и оба разрешения присутствуют в утверждении role в токене доступа.

Обновление других свойств работает нормально.Ошибка возникает только при обновлении свойства mobilePhone и только с разрешениями приложения (при использовании Graph Explorer с работающим администратором).

Это поведение неожиданно началось 2 октября. 2018. До этого обновление мобильного телефонасвойство также работало с разрешениями приложения (такими же разрешениями).

Насколько я могу судить, в документацию Graph не добавлены новые ограничения / необходимые разрешения для пользовательских запросов PATCH или свойства mobilePhone.В чем здесь может быть проблема?

ПРИМЕЧАНИЕ. Запросы выполняются с использованием Microsoft.Graph.GraphServiceClient (.NET Standard), но то же поведение также верно при выполнении запросов с использованием Postman.

РЕДАКТИРОВАТЬ:

Это ответ от API Graph: 

{
    "error": {
        "code": "Authorization_RequestDenied",
        "message": "Insufficient privileges to complete the operation.",
        "innerError": {
            "request-id": "e956cb0b-af0a-4bb7-aae3-59d39d007a82",
            "date": "2018-10-11T08:27:19"
        }
    }
}

1 Ответ

0 голосов
/ 16 октября 2018

У нашей команды возникла та же проблема, мы открыли запрос в службу поддержки Microsoft и решили проблему.

Решение заключается в добавлении роли Администратор службы поддержки в Принципал службы/ Корпоративное приложение .

Microsoft изменила политику безопасности при обновлении PII и изменила роли безопасности, разрешенные для обновления.

Вот еще наш ответ на запрос поддержки:

Причина, по которой это происходит, заключается в том, что недавно произошли изменения из-за новых проблем с чувствительностью PII.

Итак, теперь вам нужно добавить роль администратора службы поддержки в приложение Service Principal / Enterprise.

Вы можете сделать это, следуя следующей статье: https://blogs.msdn.microsoft.com/aaddevsup/2018/08/29/how-to-add-an-azure-ad-role-to-a-enterprise-application-service-principal/

Это позволяет изменять значения, такие как: атрибуты mobile / othermails / telephonenumber.

...