Graph API для изменения пароля другого пользователя

Question

1 - Мы создали веб-часть для изменения пароля пользователя с помощью app services / graph api (/ users / username {passwordProfile: {«пароль»: «xxxx»})

2- Потому что Directory.AccessAsUser. Все это делегированное разрешение, которое нам нужно, чтобы добавить пользователя в нужную роль, чтобы получить доступ для изменения пароля.

3- Мы пытались добавить пользователя в разные роли, и ни одна из них не работала, кроме глобального администратора . У нас всегда было недостаточно прав для завершения операции »

Есть ли способ сделать это с меньшими привилегиями, чем у глобального администратора?

Answer 1

Если вы хотите назначить роль, отличную от роли глобального администратора, вы можете попробовать с помощью администратора привилегированной аутентификации , который также может помочь вам изменить пароль для других пользователей.

введите описание изображения здесь

Убедитесь, что у вас есть разрешение Directory.AccessAsUser.All с ролью для изменения свойства passwordProfile.

Answer 2

Изменение пароля - одна из тех привилегированных ролей, которые нельзя просто указать в разрешениях API приложения. 2. это правильно. Разрешения Directory.AccessAsUser.All делегируются только, что означает, что только пользователи с правильной ролью могут выполнять функции. Ниже приведены роли, которые могут изменять пароли.

У вас должна быть возможность изменять пароли с помощью приложения только без разрешенных разрешений для графика. вы можете, если назначите принципала службы приложения (регистрация приложения) роли администратора паролей в объявлении azure. если вы управляете какими-либо другими свойствами, вам может быть лучше дать ему роль администратора службы поддержки. то же самое относится и к делегированному пользователю, если вы поместите его в одну из этих двух ролей, у них должен быть доступ для изменения паролей.