"Authorization_RequestDenied" Fehlermeldung, wenn Sie versuchen, ein Kennwort ändern, wenn Sie Graph-API verwenden

PROBLEM

Wenn Sie versuchen, das Kennwort eines Benutzers Microsoft Azure Active Directory (Azure AD) ändern und die Organisatorische Funktion für den Benutzer Option "Administrator" eingestellt ist, der Vorgang schlägt fehl und erzeugt die folgende Fehlermeldung:

{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient Berechtigungen zum Abschließen des Vorgangs." }}}

Geben die Berechtigung Lesen und Schreiben von Verzeichnisdaten an die Anwendung oder Application Service Principal ermöglichen der Anwendung einer normalen Azure Passwort AD-Benutzerobjekt mit Graph-API. Diese Einstellung wird in der folgenden Abbildung gezeigt.
permissions screen
Einen Azure AD-Benutzer delegieren als Administrator, durch Einstellung des Benutzers Organisatorische Funktion , wie im folgenden Screenshot gezeigt.
role screen

URSACHE

Dieses Problem tritt auf, weil Benutzer den Rollen "Administrator" ist nicht "Unternehmensadministrator" oder "Benutzer Kontoadministrator" in Office 365 administrativen Rollen gehören.

LÖSUNG

Um dieses Problem zu beheben, wird fügen Sie die Anwendung "Unternehmensadministrator hinzu" in Office 365 administrativen Rollen. Führen Sie hierzu alle folgenden Azure AD Moduls Cmdlets für Windows PowerShell (MSOL):

   #----------------------------------------------------------- # This will prompt you for your tenant's credential # You should be able to use your your Azure AD administrative user name # (in the admin@tenant.onmicrosoft.com format) #----------------------------------------------------------- Connect-MsolService #----------------------------------------------------------- # Replace the Application Name with the name of your # Application Service Principal #----------------------------------------------------------- $displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId #----------------------------------------------------------- # This will add your Application Service Prinicpal to # the Company Administrator role #----------------------------------------------------------- $roleName = "Company Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId 
Außerdem müssen Sie die Anwendung "Benutzer Kontoadministrator" in Office 365 administrativen Rollen hinzufügen, folgenden "Administrator" Rollen Organisation hat Azure AD-Benutzer:
  • Globaler Administrator
  • Abrechnungsadministrators
  • Dienstadministratoren

Führen Sie hierzu die folgenden MSOL-Cmdlets:

   #----------------------------------------------------------- # This will prompt you for your tenant's credential # You should be able to use your your Azure AD administrative user name # (in the admin@tenant.onmicrosoft.com format) #----------------------------------------------------------- Connect-MsolService #----------------------------------------------------------- # Replace the Application Name with the name of your # Application Service Principal #----------------------------------------------------------- $displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId #----------------------------------------------------------- # This will add your Application Service Principal to # the Company Administrator role #----------------------------------------------------------- $roleName = "User Account Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId 
Nachdem Sie beide Cmdlets ausführen, wird die Anwendung Passwort "Administrator" alle Rollen aktiviert.

Hinweis Es dauert bis zu 30 Minuten für die Berechtigungen, Dienstprinzipalnamen Anwendung angewendet werden, nachdem Sie Office 365 administrativen Rollen Berechtigungen hinzugefügt.

Weitere Informationen

Weitere Informationen zum Zurücksetzen von Benutzerkennwörtern mit Graph-API finden Sie in folgenden Microsoft Azure-Website:

Benötigen Sie Hilfe? Gehe zu Microsoft Community oder Azure Active Directory Forum-Website.
Eigenschaften

Artikelnummer: 3004133 – Letzte Überarbeitung: 20.01.2017 – Revision: 1

Feedback