이 문서에서는 Graph Explorer를 사용하여 Microsoft Intune 개체를 검사하거나 수정하려고 할 때 발생하는 403 사용할 수 없음 오류에 대한 솔루션을 제공합니다.
증상
Graph Explorer에서 쿼리를 실행하여 네임스페이스 아래에 있는 Microsoft Intune 개체를 https://graph.microsoft.com/beta/deviceManagement 검사하거나 수정하려고 하면 오류 메시지가 표시됩니다.
실패 - 상태 코드 403. 이 호출에 대한 권한이 없는 것 같습니다. 사용 권한을 수정하세요.
{
"error": {
"code": "Forbidden",
"message": "{\r\n \"_version\": 3,\r\n \"Message\": \"Application이 이 작업을 수행할 권한이 없습니다. 애플리케이션에는 DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All - 작업 ID(고객 지원용): 0000000-0000-0000-000000000000 - 활동 ID: 5c977c7f-ae3-ae3-0이 있어야 합니다.4be0-82c2-408eafb65caf - Url: <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20>\",\r\n \"CustomApiErrorPhrase\": \"\",\r\n \"RetryAfter\": null,\r\n \"ErrorSourceService\": \"\",\r\n \"HttpHeaders\": \"{}\"\\r\n}",
"innerError": {
"request-id": "5c977c7f-ae03-4be0-82c2-408eafb65caf",
"date": "2019-11-15T18:53:00"
}
}
}
원인
이 문제는 Graph Explorer에 액세스하는 데 사용하는 계정에 Intune 디바이스 구성 및 정책에 필요한 읽기 및 읽기/쓰기 권한이 없기 때문에 발생합니다.
솔루션
이 문제를 해결하려면 다음 단계에 따라 계정 권한을 수정합니다.
아직 로그인하지 않은 경우 Microsoft로 로그인을 선택하여 Graph Explorer에 로그인합니다.
오류 메시지에서 권한 수정을 선택합니다.
사용 권한 수정 대화 상자에서 다음 사용 권한이 선택되어 있는지 확인합니다.
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
사용 권한 수정을 선택합니다.
참고 항목
Graph 탐색기에서 로그오프하고 자격 증명을 선택하라는 메시지가 표시됩니다. 이 문제가 자동으로 발생하지 않으면 브라우저를 닫고 Graph Explorer를 다시 엽니다.
다음에 동일한 계정을 사용하여 Graph Explorer에 액세스하려고 하면 다음과 유사한 권한 요청 대화 상자가 표시됩니다.
수락을 선택하여 3단계에서 변경한 내용을 적용합니다. 다른 Intune 관리자에게 사이트에 대한 액세스 권한도 부여하려면 조직을 대신하여 동의를 선택합니다. 이 선택에 대한 자세한 내용은 아래의 사용 권한 동의에 대한 자세한 내용을 참조하세요.
사용 권한이 올바르게 설정되었는지 확인합니다. 이렇게 하려면 계정에 대한 권한 수정을 선택한 다음 다음 권한이 부여되었는지 확인합니다.
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
테넌트 기본 설정 다시 설정
이 문제를 여전히 해결할 수 없는 경우 테넌트가 기본 설정으로 다시 설정될 수 있습니다. 다음 단계에 따라 Graph Explorer 엔터프라이즈 애플리케이션 구성을 안전하게 삭제하고 다시 만듭니다.
Important
브라우저 캐싱에 영향을 주는 문제를 방지하려면 액세스 권한 문제를 해결할 때 InPrivate 또는 Incognito 모드로 이동하세요.
Azure Portal에 로그인하고, Microsoft Entra ID>엔터프라이즈 애플리케이션으로 이동한 다음, 애플리케이션 목록에서 Graph 탐색기를 선택합니다.
그래프 탐색기 설정에서 속성 관리를>선택합니다.
삭제를 선택하고 경고 대화 상자를 승인합니다.
Azure Portal에서 Application Graph 탐색기가 성공적으로 삭제될 때까지 기다립니다.
Microsoft에서 로그인을 선택하여 Graph Explorer에 로그인합니다. 앱이 성공적으로 삭제되면 기본 사용 권한을 수락하라는 메시지가 표시됩니다.
참고 항목
Graph Explorer에 대한 액세스를 제거하는 경우 애플리케이션에서 사용 권한이 적용되는 시점까지 몇 분 정도 지연될 수 있습니다.
권한 동의에 대한 자세한 정보
Graph Explorer에 처음 로그온하면 다음과 유사한 사용 권한 요청 대화 상자가 표시됩니다.
수락을 선택하면 로그인 계정에 앱 권한을 부여합니다. 조직 대신 동의를 선택하면 다른 계정에서도 Graph Explorer를 사용하여 Intune 관리 개체를 쿼리할 수 있습니다. 그러면 다음 설정이 있는 엔터프라이즈 애플리케이션이 Microsoft Entra ID로 만들어집니다.
- 이름: 그래프 탐색기
- 애플리케이션 ID: de8bc8b5-d9f9-48b1-a8ad-b748da725064
- 개체 ID: 고유 GUID
- 사용자가 로그인할 수 있도록 설정: 예
- 사용자 할당 필요: 아니요
- 사용자에게 표시: 예
- 사용자 및 그룹: 기본적으로 권한 요청 대화 상자에서 액세스 권한을 처음 부여한 계정만 있습니다.
다음은 사용자 동의에 따라 액세스 권한을 부여한 후 설정되는 기본 사용자 권한입니다.
참고 항목
다음 경로에서 Azure Portal에서 사용 권한을 볼 수 있습니다.
Microsoft Entra ID>Enterprise 애플리케이션>모든 애플리케이션>Graph 탐색기>사용자 및 그룹><계정 이름>>애플리케이션>할당 세부 정보>권한 및 동의
| API 이름 | Type | Permission | 다음을 통해 부여됨 |
|---|---|---|---|
| Microsoft Graph | 위임됨 | 사용자 로그인 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자의 기본 프로필 보기 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자 프로필에 대한 읽기 및 쓰기 액세스 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 모든 사용자의 기본 프로필 읽기 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 모든 사이트 모음의 항목 편집 또는 삭제 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자 연락처에 대한 모든 액세스 권한 부여 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자의 관련 사용자 목록 읽기 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자가 액세스할 수 있는 모든 OneNote 전자 필기장 읽기 및 쓰기 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자 작업 및 프로젝트 만들기, 읽기, 업데이트 및 삭제 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자 메일에 대한 읽기 및 쓰기 권한 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자가 액세스할 수 있는 모든 파일에 대한 모든 액세스 권한 부여 | 사용자 동의 |
| Microsoft Graph | 위임됨 | 사용자 일정에 대한 모든 액세스 권한 부여 | 사용자 동의 |
조직을 대신하여 동의를 선택하면 관리자 동의에 따라 다음 권한이 부여됩니다.
| API 이름 | Type | Permission | 다음을 통해 부여됨 |
|---|---|---|---|
| Microsoft Graph | 위임됨 | 사용자 로그인 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자의 기본 프로필 보기 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자 프로필에 대한 읽기 및 쓰기 액세스 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 모든 사용자의 기본 프로필 읽기 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 모든 사이트 모음의 항목 편집 또는 삭제 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자 연락처에 대한 모든 액세스 권한 부여 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자의 관련 사용자 목록 읽기 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자가 액세스할 수 있는 모든 OneNote 전자 필기장 읽기 및 쓰기 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자 작업 및 프로젝트 만들기, 읽기, 업데이트 및 삭제 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자 메일에 대한 읽기 및 쓰기 권한 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자가 액세스할 수 있는 모든 파일에 대한 모든 액세스 권한 부여 | 관리자 동의 |
| Microsoft Graph | 위임됨 | 사용자 일정에 대한 모든 액세스 권한 부여 | 관리자 동의 |