Udostępnij za pośrednictwem

Błąd 403 Zabronione podczas wykonywania zapytań dotyczących obiektów usługi Intune w Eksploratorze programu Graph

Ten artykuł zawiera rozwiązanie błędu 403 Zabronione , który występuje podczas próby użycia Eksploratora programu Graph do inspekcji lub modyfikowania obiektów usługi Microsoft Intune.

Symptomy

Podczas próby uruchomienia zapytań w Eksploratorze programu Graph w celu sprawdzenia lub zmodyfikowania obiektów usługi Microsoft Intune w https://graph.microsoft.com/beta/deviceManagement przestrzeni nazw zostanie wyświetlony komunikat o błędzie:

Niepowodzenie — kod stanu 403. Wygląda na to, że być może nie masz uprawnień do tego wywołania. Zmodyfikuj swoje uprawnienia.
{
    "error": {
        "code": "Zabronione",
        "message": "{\r\n \"_version\": 3,\r\n \"Message\": \"Aplikacja nie ma autoryzacji do wykonania tej operacji. Aplikacja musi mieć jeden z następujących zakresów: DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All — Identyfikator operacji (dla działu pomocy technicznej klienta): 0000000-0000-0000-0000-000000000000000 — identyfikator działania: 5c977c7f-ae03-0004be0-82c2-408eafb65caf - Url: <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20>\",\r\n \"CustomApiErrorPhrase\": \"\",\r\n \"RetryAfter\": null,\r\n \"ErrorSourceService\": \",\r\n \"HttpHeaders\":{} \"r\n}",
        "innerError": {
            "request-id": "5c977c7f-ae03-4be0-82c2-408eafb65caf",
            "date": "2019-11-15T18:53:00"
        }
    }
}

Zrzut ekranu przedstawiający szczegóły błędu 403.

Przyczyna

Ten problem występuje, ponieważ konto używane do uzyskiwania dostępu do Eksploratora programu Graph nie ma wymaganych uprawnień do odczytu i odczytu/zapisu w konfiguracji i zasadach urządzeń usługi Intune.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki, aby zmodyfikować uprawnienia konta.

  1. Zaloguj się do Eksploratora programu Graph, wybierając pozycję Zaloguj się przy użyciu firmy Microsoft, jeśli jeszcze tego nie zrobiono.

  2. W komunikacie o błędzie wybierz pozycję Modyfikuj swoje uprawnienia.

    Zrzut ekranu przedstawiający modyfikowanie linku uprawnień w górnej części błędu.

  3. W oknie dialogowym Modyfikowanie uprawnień upewnij się, że wybrano następujące uprawnienia:

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    Zrzut ekranu przedstawiający opcje Modyfikowanie uprawnień.

  4. Wybierz pozycję Modyfikuj uprawnienia.

    Uwaga 16.

    Należy wylogować się z Eksploratora programu Graph i poprosić o wybranie poświadczeń. Jeśli to nie nastąpi automatycznie, zamknij przeglądarkę i otwórz ponownie Eksploratora programu Graph.

  5. Przy następnej próbie uzyskania dostępu do Eksploratora programu Graph przy użyciu tego samego konta zostanie wyświetlony monit z wyświetlonym monitem w oknie dialogowym Uprawnienia żądane , które przypomina następujące.

    Zrzut ekranu przedstawiający żądaną stronę Uprawnienia.

  6. Wybierz pozycję Akceptuj , aby zastosować zmiany wprowadzone w kroku 3. Jeśli chcesz, aby inni administratorzy usługi Intune również otrzymali dostęp do witryny, wybierz pozycję Zgoda w imieniu organizacji. Aby uzyskać szczegółowe informacje na temat tego wyboru, zobacz Więcej informacji na temat zgody na uprawnienia poniżej.

  7. Sprawdź, czy twoje uprawnienia są ustawione poprawnie. W tym celu wybierz pozycję Modyfikuj uprawnienia dla konta, a następnie sprawdź, czy udzielono następujących uprawnień:

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    Zrzut ekranu przedstawiający stronę modyfikowania uprawnień.

Resetowanie dzierżawy do ustawień domyślnych

Jeśli nadal nie możesz rozwiązać tego problemu, możesz zresetować dzierżawę do ustawień domyślnych. Wykonaj następujące kroki, aby bezpiecznie usunąć i ponownie utworzyć konfigurację aplikacji dla przedsiębiorstw programu Graph Explorer.

Ważne

Aby uniknąć problemów wpływających na buforowanie przeglądarki, przeglądaj w trybie InPrivate lub Incognito podczas rozwiązywania problemów z uprawnieniami dostępu.

  1. Zaloguj się do witryny Azure Portal, przejdź do pozycji Microsoft Entra ID>Enterprise Applications, a następnie wybierz pozycję Eksplorator programu Graph z listy aplikacji.

  2. W ustawieniach Eksploratora programu Graph wybierz pozycję Zarządzaj właściwościami>.

  3. Wybierz pozycję Usuń i potwierdź okno dialogowe ostrzeżenia.

  4. Poczekaj na pomyślne usunięcie eksploratora programu Application Graph z witryny Azure Portal.

  5. Zaloguj się do Eksploratora programu Graph, wybierając pozycję Zaloguj się przy użyciu firmy Microsoft. Jeśli aplikacja zostanie pomyślnie usunięta, zostanie wyświetlony monit o zaakceptowanie uprawnień domyślnych.

    Uwaga 16.

    Może wystąpić kilka minut opóźnienia między usunięciem dostępu do Eksploratora programu Graph, gdy uprawnienia staną się skuteczne w aplikacji.

Po pierwszym zalogowaniu się do Eksploratora programu Graph zostanie wyświetlony monit z wyświetlonym monitem w oknie dialogowym Uprawnienia żądane w następujący sposób.

Zrzut ekranu przedstawiający okno dialogowe Uprawnienia żądane.

Wybierając pozycję Akceptuj, przyznasz aplikacji uprawnienia do konta logowania. Wybierając pozycję Zgoda w imieniu organizacji, możesz zezwolić innym kontom na używanie Eksploratora programu Graph do wykonywania zapytań dotyczących obiektów zarządzania usługi Intune. Spowoduje to utworzenie aplikacji dla przedsiębiorstw w identyfikatorze Entra firmy Microsoft, która ma następujące ustawienia:

  • Nazwa: Eksplorator programu Graph
  • Identyfikator aplikacji: de8bc8b5-d9f9-48b1-a8ad-b748da725064
  • Identyfikator obiektu: unikatowy identyfikator GUID
  • Włączone logowanie użytkownika: Tak
  • Wymagane przypisanie użytkownika: Nie
  • Widoczne dla użytkowników: Tak
  • Użytkownicy i grupy: domyślnie tylko konto, które po raz pierwszy udzieliło dostępu w żądanym oknie dialogowym Uprawnienia.

Poniżej przedstawiono domyślne uprawnienia użytkownika ustawione po udzieleniu dostępu w obszarze Zgoda użytkownika.

Uwaga 16.

Uprawnienia można wyświetlić w witrynie Azure Portal w następującej ścieżce:
Microsoft Entra ID>Aplikacje dla przedsiębiorstw Wszystkie aplikacje>>Eksplorator>programu Graph Użytkownicy i grupy><Konta Nazwy>>aplikacji>Szczegóły>przypisania i zgoda

Nazwa interfejsu API Typ Uprawnienie Przyznane za pośrednictwem
Microsoft Graph Delegowany Logowanie użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Wyświetlanie podstawowych profilów użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Dostęp do odczytu i zapisu w profilach użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Odczytywanie podstawowych profilów wszystkich użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Edytowanie lub usuwanie elementów we wszystkich zbiorach witryn Zgoda użytkownika
Microsoft Graph Delegowany Mieć pełny dostęp do kontaktów użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Odczytywanie list osób odpowiednich użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Odczytywanie i zapisywanie wszystkich notesów programu OneNote, do których użytkownicy mogą uzyskiwać dostęp Zgoda użytkownika
Microsoft Graph Delegowany Tworzenie, odczytywanie, aktualizowanie i usuwanie zadań i projektów użytkowników Zgoda użytkownika
Microsoft Graph Delegowany Dostęp do odczytu i zapisu do poczty użytkownika Zgoda użytkownika
Microsoft Graph Delegowany Mieć pełny dostęp do wszystkich plików, do których użytkownicy mogą uzyskiwać dostęp Zgoda użytkownika
Microsoft Graph Delegowany Mieć pełny dostęp do kalendarzy użytkowników Zgoda użytkownika

Jeśli wybierzesz pozycję Zgoda w imieniu organizacji, będziesz mieć następujące uprawnienia w obszarze Zgoda administratora.

Nazwa interfejsu API Typ Uprawnienie Przyznane za pośrednictwem
Microsoft Graph Delegowany Logowanie użytkowników zgoda administratora
Microsoft Graph Delegowany Wyświetlanie podstawowych profilów użytkowników zgoda administratora
Microsoft Graph Delegowany Dostęp do odczytu i zapisu w profilach użytkowników zgoda administratora
Microsoft Graph Delegowany Odczytywanie podstawowych profilów wszystkich użytkowników zgoda administratora
Microsoft Graph Delegowany Edytowanie lub usuwanie elementów we wszystkich zbiorach witryn zgoda administratora
Microsoft Graph Delegowany Mieć pełny dostęp do kontaktów użytkowników zgoda administratora
Microsoft Graph Delegowany Odczytywanie list osób odpowiednich użytkowników zgoda administratora
Microsoft Graph Delegowany Odczytywanie i zapisywanie wszystkich notesów programu OneNote, do których użytkownicy mogą uzyskiwać dostęp zgoda administratora
Microsoft Graph Delegowany Tworzenie, odczytywanie, aktualizowanie i usuwanie zadań i projektów użytkowników zgoda administratora
Microsoft Graph Delegowany Dostęp do odczytu i zapisu do poczty użytkownika zgoda administratora
Microsoft Graph Delegowany Mieć pełny dostęp do wszystkich plików, do których użytkownicy mogą uzyskiwać dostęp zgoda administratora
Microsoft Graph Delegowany Mieć pełny dostęp do kalendarzy użytkowników zgoda administratora