Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan soluciones a un error HTTP 403 que se produce cuando se llama a microsoft Graph Security API.
Síntomas
Al usar Microsoft Graph Security API para llamar a puntos de conexión como https://graph.microsoft.com/v1.0/security/alert y https://graph.microsoft.com/beta/security/secoreScores, es posible que reciba un error 403 con el siguiente mensaje:
El token de autenticación no contiene permisos válidos o el usuario no tiene roles válidos
Causa
El error se produce debido a uno de los siguientes motivos:
- El token de acceso carece de los permisos necesarios de Microsoft Graph para los puntos de conexión de seguridad.
- El usuario autenticado que obtiene el token de acceso no tiene un rol de administrador de Microsoft Entra necesario para el token de tipo de permiso delegado.
Solución 1: Uso de permisos válidos de Microsoft Graph
Hay dos tipos de tokens: tokens de aplicación y tokens de permisos delegados. Para obtener más información, consulte Permisos de aplicación y delegados para los tokens de acceso en la plataforma de identidad de Microsoft.
Para los tokens de permisos delegados, los permisos de Microsoft Graph se encuentran en la scp aserción. En el caso de los tokens de permisos de aplicación, los permisos se encuentran en la roles reclamación. Para obtener los permisos de Microsoft Graph necesarios, puede consultar la tabla siguiente, que también se muestra en Autorización y microsoft Graph Security API:
| Permiso | Entidad | Solicitudes admitidas |
|---|---|---|
| SecurityActions.Read.All | • securityActions (versión preliminar) | OBTENER |
| AccionesDeSeguridad.LecturaEscritura.Todo | • securityActions (versión preliminar) | GET, POST |
| EventosDeSeguridad.Leer.Todo | • alertas • secureScores • secureScoreControlProfiles |
OBTENER |
| EventosDeSeguridad.LeerEscribir.Todo | • alertas • secureScores • secureScoreControlProfiles |
GET, POST, PATCH |
| IndicadoresDeAmenaza.LeerEscribir.PropiedadDe | • tiIndicator (versión preliminar) | GET, POST, PATCH, DELETE |
Para obtener más información, consulte Uso de la API de seguridad de Microsoft Graph y Referencia de permisos de Microsoft Graph.
Solución 2: Uso de roles de administrador válidos de Microsoft Entra
Para los tokens de permisos delegados, el usuario de autenticación debe tener uno de los siguientes roles de administrador:
| Rol de Microsoft Entra | Identificador de plantilla de rol |
|---|---|
| Lector de seguridad | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Administrador de seguridad | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Administrador global | 62e90394-69f5-4237-9190-012177145e10 |
Para obtener más información, consulte Roles integrados y autorización de Microsoft Entray Microsoft Graph Security API.
La wids declaración en el token contiene el rol de Microsoft Entra. Se puede usar para determinar si el usuario tiene suficientes privilegios.
"ver": "1.0"
"wids": [
"62e90394-69f5-4237-9190-012177145e10",
"b79fbf4d-3ef9-4689-8143-76b194e85509"
],
"xms_st":{
"sub": "<sub>"
}
Nota:
Si el token se obtiene a través del flujo de concesión implícito, es posible que la wids reclamación no exista. Para obtener más información, consulte Tokens de acceso de la plataforma de identidad de Microsoft. En este caso, use un flujo de concesión de OAuth 2 diferente, como el flujo de código de autorización, para obtener el token de acceso.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto a la comunidad de comentarios de Azure.