在 Graph 资源管理器中查询 Intune 对象时出现 403 禁止访问错误

本文为尝试使用 Graph 资源管理器检查或修改 Microsoft intune 对象时发生的 403 禁止访问错误提供了解决方案

现象

尝试在 Graph 资源管理器运行查询以检查或修改命名空间下https://graph.microsoft.com/beta/deviceManagementMicrosoft Intune 对象时,会收到错误消息:

失败 - 状态代码 403。 看起来你可能没有此调用的权限。 请修改你的权限。
{
    "error": {
        “code”: “Forbidden”,
        “message”: “{\r\n \”_version\“: 3,\r\n \”Message\“: \”Application is not authorized to perform this operation. 应用程序必须具有以下范围之一:DeviceManagementConfiguration.Read.All、DeviceManagementConfiguration.ReadWrite.All - 操作 ID(针对客户支持):0000000-0000-0000-0000-000000000000 - 活动 ID: 5c977c7f-ae03-1 4be0-82c2-408eafb65caf - Url: <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20>\“,\r\n \”CustomApiErrorPhrase\“: \”\“,\r\n \”RetryAfter\“: null,\r\n \”ErrorSourceService\“: \”\“,\r\n \”HttpHeaders\“: \”{}\“\”\r\n}“,
        “innerError”: {
            “request-id”: “5c977c7f-ae03-4be0-82c2-408eafb65caf”,
            “date”: “2019-11-15T18:53:00”
        }
    }
}

403 错误详细信息的屏幕截图。

原因

出现此问题的原因是用于访问 Graph 资源管理器的帐户对 Intune 设备配置和策略没有所需的读取和读取/写入权限。

解决方案

若要解决此问题,请按照以下步骤修改帐户权限。

  1. 如果尚未执行此操作,请选择“使用 Microsoft 登录”登录到 Graph 资源管理器

  2. 在错误消息中,选择“ 修改权限”。

    错误顶部修改权限链接的屏幕截图。

  3. 在“修改权限”对话框中,确保已选择以下权限:

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    “修改权限”选项的屏幕截图。

  4. 选择“ 修改权限”。

    注意

    应从 Graph 资源管理器注销,并要求你选择凭据。 如果未自动发生这种情况,请关闭浏览器,然后重新打开 Graph 资源管理器。

  5. 下次尝试使用同一 帐户访问 Graph 资源管理器时,系统会提示你请求 的权限对话框,如下所示。

    “请求的权限”页面的屏幕截图。

  6. 选择“接受”以应用在步骤 3 中所做的更改。 如果希望其他 Intune 管理员也有权访问该网站,请代表组织选择“同意”。 有关此选择的详细信息,请参阅 下面有关权限同意 的详细信息。

  7. 验证权限是否已正确设置。 为此,请选择 帐户的修改权限 ,然后验证是否授予了以下权限:

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    “修改权限”页的屏幕截图。

将租户重置为默认设置

如果仍无法解决此问题,可以将租户重置为其默认设置。 按照以下步骤安全地删除并重新创建 Graph Explorer 企业应用程序配置。

重要

若要避免影响浏览器缓存的问题,在排查访问权限问题时,请浏览 InPrivate Incognito 模式。

  1. 登录到Azure 门户,转到Microsoft Entra ID>Enterprise Applications,然后从应用程序列表中选择 Graph 资源管理器。

  2. 在 Graph 资源管理器设置中,选择“管理>属性”。

  3. 选择“删除,然后确认警告对话框。

  4. 等待 Application Graph 资源管理器从Azure 门户成功删除消息。

  5. 通过选择 “使用 Microsoft 登录”登录到 Graph 资源管理器。 如果成功删除应用,系统会提示你接受默认权限。

    注意

    删除对 Graph 资源管理器的访问权限时,在应用程序生效时,可能会有几分钟的延迟。

首次登录到 Graph 资源管理器时,系统会提示 “权限请求 ”对话框,如下所示。

“请求的权限”对话框的屏幕截图。

通过选择 “接受”,可以向应用授予登录帐户的权限。 通过代表组织选择“同意”,允许其他帐户也使用 Graph 资源管理器查询 Intune 管理对象。 这会在Microsoft Entra ID 中创建具有以下设置的企业应用程序:

  • 名称:图形资源管理器
  • 应用程序 ID:de8bc8b5-d9f9-48b1-a8ad-b748da725064
  • 对象 ID:唯一 GUID
  • 已启用用户登录:是
  • 需要用户分配:否
  • 对用户可见:是
  • 用户和组:默认情况下,只有首次在“权限请求”对话框中授予访问权限的帐户。

以下是在用户同意授予访问权限后设置的默认用户权限。

注意

可以在以下路径中查看Azure 门户中的权限:
Microsoft Entra ID>Enterprise 应用程序所有应用程序>>Graph 资源管理器>用户和组><帐户名称>>应用程序>分配详细信息>权限和许可

API 名称 类型 权限 授权方式
Microsoft Graph 委派 登录用户 用户同意
Microsoft Graph 委派 查看用户的基本配置文件 用户同意
Microsoft Graph 委派 对用户配置文件的读取和写入访问权限 用户同意
Microsoft Graph 委派 读取所有用户的基本配置文件 用户同意
Microsoft Graph 委派 编辑或删除所有网站集中的项目 用户同意
Microsoft Graph 委派 对用户联系人具有完全访问权限 用户同意
Microsoft Graph 委派 读取用户的相关人员列表 用户同意
Microsoft Graph 委派 读取和写入用户可以访问的所有 OneNote 笔记本 用户同意
Microsoft Graph 委派 创建、读取、更新和删除用户任务和项目 用户同意
Microsoft Graph 委派 对用户邮件的读取和写入访问权限 用户同意
Microsoft Graph 委派 对用户可以访问的所有文件具有完全访问权限 用户同意
Microsoft Graph 委派 具有对用户日历的完全访问权限 用户同意

如果代表组织选择“同意”,则管理员同意将拥有以下权限。

API 名称 类型 权限 授权方式
Microsoft Graph 委派 登录用户 管理员同意
Microsoft Graph 委派 查看用户的基本配置文件 管理员同意
Microsoft Graph 委派 对用户配置文件的读取和写入访问权限 管理员同意
Microsoft Graph 委派 读取所有用户的基本配置文件 管理员同意
Microsoft Graph 委派 编辑或删除所有网站集中的项目 管理员同意
Microsoft Graph 委派 对用户联系人具有完全访问权限 管理员同意
Microsoft Graph 委派 读取用户的相关人员列表 管理员同意
Microsoft Graph 委派 读取和写入用户可以访问的所有 OneNote 笔记本 管理员同意
Microsoft Graph 委派 创建、读取、更新和删除用户任务和项目 管理员同意
Microsoft Graph 委派 对用户邮件的读取和写入访问权限 管理员同意
Microsoft Graph 委派 对用户可以访问的所有文件具有完全访问权限 管理员同意
Microsoft Graph 委派 具有对用户日历的完全访问权限 管理员同意