Устройство обновления API Graph, возвращающее 403 - PullRequest
Новая
       103

Устройство обновления API Graph, возвращающее 403

1 голос
/ 20 сентября 2019

Попытка обновить свойство displayName устройства, используя график api.Используя эту документацию (https://docs.microsoft.com/en-us/graph/api/device-update?view=graph-rest-beta&tabs=http). Детали запроса: 

PATCH https://graph.microsoft.com/v1.0/devices/{AAD Object ID here}
JSON payload:
{
    "displayName": "My-Test-iPad"
}

Я пробовал это, используя версии API v1.0 и бета. Оба возвращают 403 (запрещено). Моя учетная записьадминистратора Intune, и все мои другие вызовы API работают отлично, включая другие операции AAD, такие как добавление / удаление членства в группах.

Кроме того, использование командлета Set-AzureADDevice из модуля AzureAD PowerShell прекрасно работает для измененияdisplayName (используя ту же учетную запись пользователя). Так что, похоже, это не проблема с разрешениями. Я хотел бы видеть, что этот командлет делает под капотом, так как я уверен, что это даст мне все, что мне нужно, но неконечно, как это разоблачить.

1 Ответ

1 голос
/ 23 сентября 2019

с помощью командлета Set-AzureADDevice из модуля AzureAD PowerShell отлично работает для изменения displayName (с использованием той же учетной записи пользователя).Так что это не похоже на проблему с разрешениями.

Если вы хотите использовать модуль Azure AD PowerShell для обновленияустройство, сначала нужно выполнить команду Connect-AzureAD, чтобы подключить Azure AD.При выполнении команды вы будете использовать пользователя Azure AD для входа в систему.Пользователю AD назначен допуск AD, и роль AD имеет некоторые разрешения AD.Таким образом, вы можете напрямую обновить устройство Azure AD.Для получения дополнительной информации, пожалуйста, обратитесь к https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#role-permissions.

Когда я запускаю Graph API для обновления устройств Azure AD, я получаю сообщение об ошибке 403

Согласно моим исследованиям, если вы используете graph api для обновления устройства Azure AD, вам необходимо предоставить некоторые разрешения.Эти разрешения Directory.ReadWrite.All и Directory.AccessAsUser.All.Потому что, когда я вызываю график api, нам нужно предоставить токен доступа.И мы получаем токен доступа приложением AD.Когда я создаю приложение AD, приложение AD не имеет никаких разрешений.Нам нужно вручную назначить разрешения для используемого приложения AD.Для более подробной информации, пожалуйста, обратитесь к https://docs.microsoft.com/en-us/graph/auth/auth-concepts?context=graph%2Fapi%2F1.0&view=graph-rest-1.0.

...