Бұл браузерге бұдан былай қолдау көрсетілмейді.
Соңғы мүмкіндіктерді, қауіпсіздік жаңартуларын және техникалық қолдауды пайдалану үшін Microsoft Edge браузеріне жаңартыңыз.
В этой статье представлено решение для ошибки 403 Запрещено , возникающей при попытке использовать Обозреватель Graph для проверки или изменения объектов Microsoft Intune.
При попытке выполнить запросы в обозревателе Graph для проверки или изменения объектов Microsoft Intune в https://graph.microsoft.com/beta/deviceManagement пространстве имен вы получите сообщение об ошибке:
Сбой — код состояния 403. Похоже, у вас могут не быть разрешений для этого вызова. Измените разрешения.
{
"error": {
"code": "Запрещено",
"message": "{\r\n \"_version\": 3,\r\n \"Message\": \"Application не авторизован для выполнения этой операции. Приложение должно иметь одну из следующих областей: DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All — идентификатор операции (для поддержки клиентов): 000000000-0000-0000-0000000000000000000000000 — идентификатор действия: 5c97c7c7f-ae03-44be0-82c2-408eafb65caf - Url: \",\r\n \"CustomApiErrorPhrase\": <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20>\"\",\r\n \"RetryAfter\": null,\r\n \"ErrorSourceService\": \"\"\\r\n \",\r\n \"HttpHeaders\": \{}"\\r\n}",
"innerError": {
"request-id": "5c977c7f-ae03-4be0-82c2-408eafb65caf",
"date": "2019-11-15T18:53:00"
}
}
}
Эта проблема возникает, так как учетная запись, используемая для доступа к Graph Explorer, не имеет необходимых разрешений на чтение и чтение и запись в конфигурацию и политики устройств Intune.
Чтобы устранить эту проблему, выполните следующие действия, чтобы изменить разрешения учетной записи.
Войдите в обозреватель Graph, выбрав вход с помощью Корпорации Майкрософт, если вы еще этого не сделали.
В сообщении об ошибке выберите изменение разрешений.
В диалоговом окне "Изменение разрешений" убедитесь, что выбраны следующие разрешения:
Выберите "Изменить разрешения".
Ескерім
Вы должны выйти из обозревателя Graph и попросить выбрать учетные данные. Если это не происходит автоматически, закройте браузер и снова откройте обозреватель Graph.
В следующий раз, когда вы пытаетесь получить доступ к graph Explorer с помощью той же учетной записи, вам будет предложено диалоговое окно "Разрешения" , которое напоминает следующее.
Нажмите кнопку "Принять" , чтобы применить изменения, внесенные на шаге 3. Если вы хотите, чтобы другие администраторы Intune также получили доступ к сайту, выберите "Согласие" от имени вашей организации. Дополнительные сведения об этом выборе см. в разделе "Дополнительные сведения о согласии разрешений " ниже.
Убедитесь, что разрешения заданы правильно. Для этого выберите изменения разрешений для учетной записи, а затем убедитесь, что предоставлены следующие разрешения:
Если вы по-прежнему не можете устранить эту проблему, вы можете сбросить клиент на его параметры по умолчанию. Выполните следующие действия, чтобы безопасно удалить и повторно создать конфигурацию корпоративного приложения Graph Explorer.
Маңызды
Чтобы избежать проблем, влияющих на кэширование браузера, перейдите в режим InPrivate или Incognito при устранении неполадок с разрешениями на доступ.
Войдите в портал Azure, перейдите к корпоративным приложениям Microsoft Entra ID>Enterprise, а затем выберите обозреватель Graph из списка приложений.
В параметрах обозревателя Graph выберите "Управление свойствами>".
Выберите " Удалить" и подтвердите диалоговое окно предупреждения.
Дождитесь успешного удаления обозревателя Application Graph из портал Azure.
Войдите в Graph Explorer, выбрав вход с помощью Корпорации Майкрософт. Если приложение успешно удалено, вам будет предложено принять разрешения по умолчанию.
Ескерім
Может потребоваться несколько минут задержки между удалением доступа к обозревателе Graph, когда разрешения станут эффективными в приложении.
При первом входе в обозреватель Graph вам будет предложено диалоговое окно "Разрешения" , похожее на следующее.
Выбрав "Принять", вы предоставляете приложению разрешения для учетной записи входа. Выбрав согласие от имени вашей организации, вы можете также использовать обозреватель Graph для запроса объектов управления Intune. При этом создается корпоративное приложение в идентификаторе Microsoft Entra, которое имеет следующие параметры:
Ниже приведены разрешения пользователей по умолчанию, заданные после предоставления доступа в соответствии с согласием пользователя.
Ескерім
Разрешения можно просмотреть в портал Azure в следующем пути:
Приложения Microsoft Entra ID>Enterprise Для>всех приложений>graph explorer>Users and groups><Account Name>>Application>Assignment Detail>Permissions &Consent
| Имя API | Тип | Разрешение | Предоставлено через |
|---|---|---|---|
| Microsoft Graph | Делегировано | Вход пользователей | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Просмотр базовых профилей пользователей | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Доступ на чтение и запись к профилям пользователей | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Чтение базовых профилей всех пользователей. | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Изменение или удаление элементов во всех семействах веб-сайтов | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Полный доступ к контактам пользователей | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Чтение соответствующих списков пользователей | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Чтение и запись всех записных книжек OneNote, к которым пользователи могут получить доступ | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Создание, чтение, обновление и удаление пользовательских задач и проектов | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Доступ на чтение и запись к почте пользователя | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Полный доступ ко всем файлам, к которым пользователи могут получить доступ | предоставление согласия пользователем. |
| Microsoft Graph | Делегировано | Полный доступ к календарям пользователей | предоставление согласия пользователем. |
Если вы выберете согласие от имени вашей организации, у вас будут следующие разрешения в соответствии с согласием администратора.
| Имя API | Тип | Разрешение | Предоставлено через |
|---|---|---|---|
| Microsoft Graph | Делегировано | Вход пользователей | Согласие администратора |
| Microsoft Graph | Делегировано | Просмотр базовых профилей пользователей | Согласие администратора |
| Microsoft Graph | Делегировано | Доступ на чтение и запись к профилям пользователей | Согласие администратора |
| Microsoft Graph | Делегировано | Чтение базовых профилей всех пользователей. | Согласие администратора |
| Microsoft Graph | Делегировано | Изменение или удаление элементов во всех семействах веб-сайтов | Согласие администратора |
| Microsoft Graph | Делегировано | Полный доступ к контактам пользователей | Согласие администратора |
| Microsoft Graph | Делегировано | Чтение соответствующих списков пользователей | Согласие администратора |
| Microsoft Graph | Делегировано | Чтение и запись всех записных книжек OneNote, к которым пользователи могут получить доступ | Согласие администратора |
| Microsoft Graph | Делегировано | Создание, чтение, обновление и удаление пользовательских задач и проектов | Согласие администратора |
| Microsoft Graph | Делегировано | Доступ на чтение и запись к почте пользователя | Согласие администратора |
| Microsoft Graph | Делегировано | Полный доступ ко всем файлам, к которым пользователи могут получить доступ | Согласие администратора |
| Microsoft Graph | Делегировано | Полный доступ к календарям пользователей | Согласие администратора |
Оқыту
Сертификаттау
Сертифицировано Microsoft 365: администратор конечной точки - Certifications
Планирование и выполнение стратегии развертывания конечных точек с помощью основных элементов современного управления, совместного управления и интеграции Microsoft Intune.