Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera rozwiązanie błędu 403 Zabronione , który występuje podczas próby użycia Eksploratora programu Graph do inspekcji lub modyfikowania obiektów usługi Microsoft Intune.
Symptomy
Podczas próby uruchomienia zapytań w Eksploratorze programu Graph w celu sprawdzenia lub zmodyfikowania obiektów usługi Microsoft Intune w https://graph.microsoft.com/beta/deviceManagement
przestrzeni nazw zostanie wyświetlony komunikat o błędzie:
Niepowodzenie — kod stanu 403. Wygląda na to, że być może nie masz uprawnień do tego wywołania. Zmodyfikuj swoje uprawnienia.
{
"error": {
"code": "Zabronione",
"message": "{\r\n \"_version\": 3,\r\n \"Message\": \"Aplikacja nie ma autoryzacji do wykonania tej operacji. Aplikacja musi mieć jeden z następujących zakresów: DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All — Identyfikator operacji (dla działu pomocy technicznej klienta): 0000000-0000-0000-0000-000000000000000 — identyfikator działania: 5c977c7f-ae03-0004be0-82c2-408eafb65caf - Url: <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20
>\",\r\n \"CustomApiErrorPhrase\": \"\",\r\n \"RetryAfter\": null,\r\n \"ErrorSourceService\": \",\r\n \"HttpHeaders\":{} \"r\n}",
"innerError": {
"request-id": "5c977c7f-ae03-4be0-82c2-408eafb65caf",
"date": "2019-11-15T18:53:00"
}
}
}
Przyczyna
Ten problem występuje, ponieważ konto używane do uzyskiwania dostępu do Eksploratora programu Graph nie ma wymaganych uprawnień do odczytu i odczytu/zapisu w konfiguracji i zasadach urządzeń usługi Intune.
Rozwiązanie
Aby rozwiązać ten problem, wykonaj następujące kroki, aby zmodyfikować uprawnienia konta.
Zaloguj się do Eksploratora programu Graph, wybierając pozycję Zaloguj się przy użyciu firmy Microsoft, jeśli jeszcze tego nie zrobiono.
W komunikacie o błędzie wybierz pozycję Modyfikuj swoje uprawnienia.
W oknie dialogowym Modyfikowanie uprawnień upewnij się, że wybrano następujące uprawnienia:
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
Wybierz pozycję Modyfikuj uprawnienia.
Uwaga 16.
Należy wylogować się z Eksploratora programu Graph i poprosić o wybranie poświadczeń. Jeśli to nie nastąpi automatycznie, zamknij przeglądarkę i otwórz ponownie Eksploratora programu Graph.
Przy następnej próbie uzyskania dostępu do Eksploratora programu Graph przy użyciu tego samego konta zostanie wyświetlony monit z wyświetlonym monitem w oknie dialogowym Uprawnienia żądane , które przypomina następujące.
Wybierz pozycję Akceptuj , aby zastosować zmiany wprowadzone w kroku 3. Jeśli chcesz, aby inni administratorzy usługi Intune również otrzymali dostęp do witryny, wybierz pozycję Zgoda w imieniu organizacji. Aby uzyskać szczegółowe informacje na temat tego wyboru, zobacz Więcej informacji na temat zgody na uprawnienia poniżej.
Sprawdź, czy twoje uprawnienia są ustawione poprawnie. W tym celu wybierz pozycję Modyfikuj uprawnienia dla konta, a następnie sprawdź, czy udzielono następujących uprawnień:
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
Resetowanie dzierżawy do ustawień domyślnych
Jeśli nadal nie możesz rozwiązać tego problemu, możesz zresetować dzierżawę do ustawień domyślnych. Wykonaj następujące kroki, aby bezpiecznie usunąć i ponownie utworzyć konfigurację aplikacji dla przedsiębiorstw programu Graph Explorer.
Ważne
Aby uniknąć problemów wpływających na buforowanie przeglądarki, przeglądaj w trybie InPrivate lub Incognito podczas rozwiązywania problemów z uprawnieniami dostępu.
Zaloguj się do witryny Azure Portal, przejdź do pozycji Microsoft Entra ID>Enterprise Applications, a następnie wybierz pozycję Eksplorator programu Graph z listy aplikacji.
W ustawieniach Eksploratora programu Graph wybierz pozycję Zarządzaj właściwościami>.
Wybierz pozycję Usuń i potwierdź okno dialogowe ostrzeżenia.
Poczekaj na pomyślne usunięcie eksploratora programu Application Graph z witryny Azure Portal.
Zaloguj się do Eksploratora programu Graph, wybierając pozycję Zaloguj się przy użyciu firmy Microsoft. Jeśli aplikacja zostanie pomyślnie usunięta, zostanie wyświetlony monit o zaakceptowanie uprawnień domyślnych.
Uwaga 16.
Może wystąpić kilka minut opóźnienia między usunięciem dostępu do Eksploratora programu Graph, gdy uprawnienia staną się skuteczne w aplikacji.
Więcej informacji na temat zgody na uprawnienia
Po pierwszym zalogowaniu się do Eksploratora programu Graph zostanie wyświetlony monit z wyświetlonym monitem w oknie dialogowym Uprawnienia żądane w następujący sposób.
Wybierając pozycję Akceptuj, przyznasz aplikacji uprawnienia do konta logowania. Wybierając pozycję Zgoda w imieniu organizacji, możesz zezwolić innym kontom na używanie Eksploratora programu Graph do wykonywania zapytań dotyczących obiektów zarządzania usługi Intune. Spowoduje to utworzenie aplikacji dla przedsiębiorstw w identyfikatorze Entra firmy Microsoft, która ma następujące ustawienia:
- Nazwa: Eksplorator programu Graph
- Identyfikator aplikacji: de8bc8b5-d9f9-48b1-a8ad-b748da725064
- Identyfikator obiektu: unikatowy identyfikator GUID
- Włączone logowanie użytkownika: Tak
- Wymagane przypisanie użytkownika: Nie
- Widoczne dla użytkowników: Tak
- Użytkownicy i grupy: domyślnie tylko konto, które po raz pierwszy udzieliło dostępu w żądanym oknie dialogowym Uprawnienia.
Poniżej przedstawiono domyślne uprawnienia użytkownika ustawione po udzieleniu dostępu w obszarze Zgoda użytkownika.
Uwaga 16.
Uprawnienia można wyświetlić w witrynie Azure Portal w następującej ścieżce:
Microsoft Entra ID>Aplikacje dla przedsiębiorstw Wszystkie aplikacje>>Eksplorator>programu Graph Użytkownicy i grupy><Konta Nazwy>>aplikacji>Szczegóły>przypisania i zgoda
Nazwa interfejsu API | Typ | Uprawnienie | Przyznane za pośrednictwem |
---|---|---|---|
Microsoft Graph | Delegowany | Logowanie użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Wyświetlanie podstawowych profilów użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Dostęp do odczytu i zapisu w profilach użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Odczytywanie podstawowych profilów wszystkich użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Edytowanie lub usuwanie elementów we wszystkich zbiorach witryn | Zgoda użytkownika |
Microsoft Graph | Delegowany | Mieć pełny dostęp do kontaktów użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Odczytywanie list osób odpowiednich użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Odczytywanie i zapisywanie wszystkich notesów programu OneNote, do których użytkownicy mogą uzyskiwać dostęp | Zgoda użytkownika |
Microsoft Graph | Delegowany | Tworzenie, odczytywanie, aktualizowanie i usuwanie zadań i projektów użytkowników | Zgoda użytkownika |
Microsoft Graph | Delegowany | Dostęp do odczytu i zapisu do poczty użytkownika | Zgoda użytkownika |
Microsoft Graph | Delegowany | Mieć pełny dostęp do wszystkich plików, do których użytkownicy mogą uzyskiwać dostęp | Zgoda użytkownika |
Microsoft Graph | Delegowany | Mieć pełny dostęp do kalendarzy użytkowników | Zgoda użytkownika |
Jeśli wybierzesz pozycję Zgoda w imieniu organizacji, będziesz mieć następujące uprawnienia w obszarze Zgoda administratora.
Nazwa interfejsu API | Typ | Uprawnienie | Przyznane za pośrednictwem |
---|---|---|---|
Microsoft Graph | Delegowany | Logowanie użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Wyświetlanie podstawowych profilów użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Dostęp do odczytu i zapisu w profilach użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Odczytywanie podstawowych profilów wszystkich użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Edytowanie lub usuwanie elementów we wszystkich zbiorach witryn | zgoda administratora |
Microsoft Graph | Delegowany | Mieć pełny dostęp do kontaktów użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Odczytywanie list osób odpowiednich użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Odczytywanie i zapisywanie wszystkich notesów programu OneNote, do których użytkownicy mogą uzyskiwać dostęp | zgoda administratora |
Microsoft Graph | Delegowany | Tworzenie, odczytywanie, aktualizowanie i usuwanie zadań i projektów użytkowników | zgoda administratora |
Microsoft Graph | Delegowany | Dostęp do odczytu i zapisu do poczty użytkownika | zgoda administratora |
Microsoft Graph | Delegowany | Mieć pełny dostęp do wszystkich plików, do których użytkownicy mogą uzyskiwać dostęp | zgoda administratora |
Microsoft Graph | Delegowany | Mieć pełny dostęp do kalendarzy użytkowników | zgoda administratora |