Mensagem de erro "Authorization_RequestDenied" quando tentar alterar uma palavra-passe, se utilizar a API de gráfico

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3004133
PROBLEMA
Se tentar alterar a palavra-passe de um utilizador do Microsoft Azure Active Directory (Azure AD), e se a definição de Função organizacionalpara esse utilizador está definida para qualquer opção de "Administrador", o processo falha e gera a seguinte mensagem de erro:

{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privilégios para concluir a operação."}}}

Quando conceder a permissão Ler e escrever dados de directório para a aplicação ou a aplicação Principal do serviço, activar a aplicação alterar a palavra-passe de um Azure típico utilizador de AD através de API de gráfico. Esta definição é mostrada na seguinte captura de ecrã.
ecrã de permissões
Pode delegar a um utilizador do Azure AD como administrador, alterando a definição de Função organizacional do utilizador, tal como mostrado na seguinte captura de ecrã.
ecrã de função
CAUSA
Este problema ocorre porque os utilizadores que tenham qualquer um dos direitos organizacionais "Administrador" não são membros de "administrador de empresa" ou "Administrador da conta de utilizador" as funções administrativas do Office 365.
SOLUÇÃO
Para resolver este problema, adicione a aplicação para "Administrador de empresa" as funções administrativas do Office 365. Para tal, execute todos os seguintes Azure AD módulo cmdlets Windows PowerShell (MSOL) de:

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService       #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId       #-----------------------------------------------------------   # This will add your Application Service Prinicpal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "Company Administrator"                 Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
Além disso, tem de adicionar a aplicação para "Administrador da conta de utilizador" as funções administrativas do Office 365 se o utilizador de Azure AD tiver qualquer um dos seguintes direitos organizacionais "Administrador":
  • Administrador global
  • Administrador de faturação
  • Administrador do serviço

Para tal, execute todos os cmdlets MSOL seguintes:

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService      #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId      #-----------------------------------------------------------   # This will add your Application Service Principal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "User Account Administrator"     Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
Depois de executar ambos os conjuntos de cmdlets, a aplicação será activada para alterar a palavra-passe de todas as funções de organizacionais "Administrador".

Nota Pode demorar até 30 minutos para as permissões a aplicar ao Principal de serviço de aplicação depois de adicionar as permissões para as funções administrativas do Office 365.
MAIS INFORMAÇÕES
Para mais informações sobre como repor palavras-passe de utilizador utilizando a API do Graph, consulte o seguinte Web site da Microsoft Azure:

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3004133 - Última Revisão: 11/12/2015 18:48:00 - Revisão: 3.0

Microsoft Office 365, Microsoft Azure Active Directory

  • o365022013 o365 o365e o365m o365a kbgraphxlink kbmt KB3004133 KbMtpt
Comentários