Authorization_RequestDenied Fehler beim Versuch, ein Kennwort mithilfe der Graph-API zu ändern

Dieser Artikel enthält Informationen zur Problembehandlung für ein Problem, bei dem Sie beim Versuch, ein Kennwort mithilfe der Graph-API zu ändern, Authorization_RequestDenied Fehler erhalten.

Original Version des Produkts:   Azure-Active Directory
Ursprüngliche KB-Nummer:   3004133

Problembeschreibung

Wenn Sie versuchen, das Kennwort eines Microsoft Azure Active Directory (Azure AD) Benutzers zu ändern, und wenn die Einstellung für die Organisationsrolle für diesen Benutzer auf eine beliebige Option Administrator festgelegt ist, schlägt der Prozess fehl und generiert die folgende Fehlermeldung:

{"odata. Error": {"Code": "Authorization_RequestDenied", "Nachricht": {"lang": "en", "Wert": "unzureichende Berechtigungen zum Abschließen des Vorgangs." }} }

Wenn Sie die Berechtigung zum Lesen und Schreiben von Verzeichnisdaten für Ihre Anwendung oder Ihren Anwendungsdienst Prinzipal erteilen, können Sie die Anwendung so ändern, dass das Kennwort eines typischen Azure AD Benutzers mithilfe der Graph-API geändert wird. Diese Einstellung ist im folgenden Screenshot dargestellt.

Screenshot von Berechtigungen.

Sie können einen Azure AD Benutzer als Administrator delegieren, indem Sie die Einstellung für die organisatorische Rolle des Benutzers ändern, wie im folgenden Screenshot dargestellt.

Screenshot von Role.

Ursache

Dieses Problem tritt auf, weil die Benutzer, die über eine der Administrator -Organisationsrollen verfügen, nicht Mitglied des Unternehmensadministrators oder des Benutzerkonto Administrators in der Office 365 Administratorrolle sind.

Lösung

Um dieses Problem zu beheben, fügen Sie Ihre Anwendung dem Unternehmens Administrator in der Office 365 Administratorrollen hinzu. Führen Sie dazu die folgenden Azure AD Module für Windows PowerShell-Cmdlets (MSOL) aus:

Connect-MsolService

Dadurch werden Sie zur Eingabe der Anmeldeinformationen Ihres Mandanten aufgefordert. Sie sollten ihren Azure AD administrativen Benutzernamen im Format verwenden können admin@tenant.onmicrosoft.com .

$displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId

Ersetzen Sie den Anwendungsnamen durch den Namen Ihres "Anwendungsdienst Prinzipals".

$roleName = "Company Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId

Dadurch wird Ihr "Anwendungsdienst Prinzipal" der Rolle "Unternehmens Administrator" hinzugefügt.

Außerdem müssen Sie Ihre Anwendung dem Benutzerkonto Administrator in der Office 365 Administratorrolle hinzufügen, wenn der Azure AD-Benutzer über eine der folgenden Administrator Rollen verfügt:

  • Globaler Administrator
  • Abrechnungs Administrator
  • Dienst Administrator

Führen Sie hierzu alle folgenden MSOL-Cmdlets aus:

Connect-MsolService
$displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId
$roleName = "User Account Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId

Nachdem Sie beide Gruppen von Cmdlets ausgeführt haben, wird Ihre Anwendung aktiviert, um das Kennwort aller Administrator Rollen in der Organisation zu ändern.

Hinweis

Es kann bis zu 30 Minuten dauern, bis die Berechtigungen auf den Anwendungsdienst Prinzipal angewendet wurden, nachdem Sie die Berechtigungen zu den Office 365 Administratorrollen hinzugefügt haben.

Weitere Informationen

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community- oder die Azure Active Directory Forum-Website.