【发布时间】:2024-04-23 18:10:01
【问题描述】:
我们有一个生产环境的应用程序,今天我们发现一个问题,通过graph api更新用户的“othermails”属性返回权限不足错误。它在几天前工作。我们是使用客户端凭据流从 azure 获取访问令牌。
在进行故障排除时,我发现如果将目录角色“全局管理员”分配给应用程序管理员用户,那么应用程序管理员用户可以更新 othermails 属性。但是几天前它在没有“全局管理员”角色的情况下运行良好。我们不能将“全局管理员”目录角色授予所有应用程序管理员,这是我们的客户施加的限制。
现在,我的问题是为什么更早工作而现在不行? Microsoft 是否更改了目录角色定义或其他内容?
【问题讨论】:
-
您能描述一下“应用程序管理员用户”是什么意思吗?
-
@PhilippeSignoret 它在我们的应用程序中称为“管理员用户”。此用户在 azure“用户管理和云管理”中有两个目录角色。此用户在我们的应用程序中具有特殊角色,可以更新其他用户信息。
标签: azure azure-active-directory microsoft-graph-api user-roles