Mensaje de error "Authorization_RequestDenied" cuando intenta cambiar la contraseña si utiliza la API de gráfico

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3004133
PROBLEMA
Si intenta cambiar la contraseña de un usuario de Microsoft Azure Active Directory (AD Azure), y el Rol organizativopara que el usuario se debe establecer a cualquier opción de "Administrador", el proceso falla y genera el mensaje de error siguiente:

{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privilegios para completar la operación."}}}

Al conceder el permiso de lectura y escritura de los datos de directorio a la aplicación o el servicio de aplicación Principal, habilitar la aplicación cambiar la contraseña de un típico Azure usuario AD mediante API de gráfico. Esta configuración se muestra en la siguiente pantalla.
pantalla de permisos
Puede delegar un usuario AD Azure como administrador cambiando la configuración del usuario Rol organizativo , como se muestra en la siguiente pantalla.
pantalla de papel
CAUSA
Este problema se produce porque los usuarios que tengan cualquiera de las funciones organizativas "Administrador" no son miembros de "Administrador de empresa" o "Administrador de la cuenta de usuario" en las funciones administrativas de Office 365.
SOLUCIÓN
Para resolver este problema, agregue la aplicación "Administrador de empresa" en las funciones administrativas de Office 365. Para ello, ejecutar todos los siguiente Azure AD módulo de cmdlets de Windows PowerShell (MSOL):

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService       #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId       #-----------------------------------------------------------   # This will add your Application Service Prinicpal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "Company Administrator"                 Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
Además, debe agregar la aplicación "Administrador de la cuenta de usuario" en las funciones administrativas de Office 365 si el usuario AD Azure tiene cualquiera de las siguientes funciones de organización de "Administrador":
  • Administrador global
  • Administrador de facturación
  • Administrador de servicio

Para ello, ejecute los siguientes cmdlets MSOL:

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService      #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId      #-----------------------------------------------------------   # This will add your Application Service Principal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "User Account Administrator"     Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
Después de ejecutar ambos conjuntos de cmdlets, se habilitará la aplicación para cambiar la contraseña de todas las funciones organizativas de "Administrador".

Nota: Puede tardar hasta 30 minutos para los permisos para aplicar a la Principal del servicio de aplicación después de agregar los permisos para las funciones administrativas de Office 365.
MÁS INFORMACIÓN
Para obtener más información acerca de cómo restablecer las contraseñas de usuario mediante API de gráfico, vea el siguiente sitio Web de Microsoft Azure:

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 sitio Web o el Foros de Azure de Active Directory .

Propiedades

Id. de artículo: 3004133 - Última revisión: 11/11/2015 18:24:00 - Revisión: 3.0

Microsoft Office 365, Microsoft Azure Active Directory

  • o365022013 o365 o365e o365m o365a kbgraphxlink kbmt KB3004133 KbMtes
Comentarios