«Authorization_RequestDenied» сообщение об ошибке при попытке изменения пароля при использовании API граф

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3004133
ПРОБЛЕМА
Если при попытке изменить пароль пользователя Microsoft Azure Active Directory (Azure AD), а параметр Организационной ролидля этого пользователя имеет значение любого параметра «Администратор», процесс не выполняется и генерирует следующее сообщение об ошибке:

{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient прав, чтобы завершить операцию."}}}

Предоставить разрешение на Чтение и запись данных каталога приложения или участника службы приложения, позволяет приложение для изменения пароля обычной Azure пользователя AD с помощью API графа. На следующем снимке экрана показан этот параметр.
разрешения экрана
Вы можете делегировать пользователем Azure AD с правами администратора, изменив параметр Организационной роли пользователя, как показано на следующем снимке экрана.
роль экрана
ПРИЧИНА
Эта проблема возникает, так как пользователи с любой организационной роли «Администратор» не являются членами "Администратор" или «Администратор учетной записи пользователя» в Office 365 административных ролей.
РЕШЕНИЕ
Для решения этой проблемы, добавьте в Office 365 административных ролей приложения «Администратор компании». Чтобы сделать это, выполните все следующие Azure AD модуля по командлетам Windows PowerShell (MSOL):

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService       #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId       #-----------------------------------------------------------   # This will add your Application Service Prinicpal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "Company Administrator"                 Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
Кроме того необходимо добавить приложения «Администратор учетной записи пользователя» в Office 365 административных ролей Если пользователь Azure AD есть следующие организационные роли «Администратор»:
  • Глобальный администратор
  • Администратор выставления счетов
  • Администратор службы

Для этого запустите следующие командлеты MSOL:

   #-----------------------------------------------------------   # This will prompt you for your tenant's credential   # You should be able to use your your Azure AD administrative user name   # (in the admin@tenant.onmicrosoft.com format)   #-----------------------------------------------------------   Connect-MsolService      #-----------------------------------------------------------   # Replace the Application Name with the name of your    # Application Service Principal   #-----------------------------------------------------------   $displayName = "Application Name"   $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId      #-----------------------------------------------------------   # This will add your Application Service Principal to    # the Company Administrator role   #-----------------------------------------------------------   $roleName = "User Account Administrator"     Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId
После выполнения обоих наборов командлетов, приложение будет включена для смены пароля все организационной роли «Администратор».

Примечание Может занять до 30 минут для разрешений для применения участника службы после добавления разрешений в Office 365 административных ролей.
Дополнительные сведения
Дополнительные сведения о том, как сбросить пароли пользователей, используя Graph API, следующий веб-узел Microsoft Azure см.

По-прежнему нужна помощь? Перейдите на Сообщество Office 365 веб-узел или Форумы Azure Active Directory .

Свойства

Номер статьи: 3004133 — последний просмотр: 11/12/2015 18:49:00 — редакция: 3.0

Microsoft Office 365, Microsoft Azure Active Directory

  • o365022013 o365 o365e o365m o365a kbgraphxlink kbmt KB3004133 KbMtru
Отзывы и предложения