Authorization_RequestDenied erreur lorsque vous essayez de modifier un mot de passe à l’aide de l’API Graph

Cet article fournit des informations sur la résolution d’un problème dans lequel vous recevez Authorization_RequestDenied erreur lors d’une tentative de modification d’un mot de passe à l’aide de l’API Graph.

Version du produit d’origine :   Azure Active Directory
Numéro de la base de connaissances initiale :   3004133

Symptômes

Si vous essayez de modifier le mot de passe d’un utilisateur Microsoft Azure Active Directory (Azure AD), et si le paramètre de rôle organisationnel de cet utilisateur est défini sur n’importe quelle option « administrateur », le processus échoue et génère le message d’erreur suivant :

{"OData. Error" : {"code" : "Authorization_RequestDenied", "message" : {"lang" : "fr", "value" : "privilèges insuffisants pour terminer l’opération." }} }

Lorsque vous octroyez l’autorisation lire et écrire des données d’annuaire à votre application ou au principal du service d’application, vous permettez à l’application de modifier le mot de passe d’un utilisateur Azure ad classique à l’aide de l’API Graph. Ce paramètre est illustré dans la capture d’écran suivante.

capture d’écran des autorisations.

Vous pouvez déléguer un utilisateur Azure AD en tant qu’administrateur en modifiant le paramètre de rôle d’organisation de l’utilisateur, comme illustré dans la capture d’écran suivante.

capture d’écran du rôle.

Cause

Ce problème se produit car les utilisateurs qui ont un des rôles organisationnels de l' administrateur ne sont pas membres de l’administrateur de la société ou de l' administrateur de compte d’utilisateur dans les rôles d’administration Office 365.

Résolution

Pour résoudre ce problème, ajoutez votre application à administrateur d’entreprise dans les rôles d’administration Office 365. Pour ce faire, exécutez tous les applets de commande du module Azure AD pour Windows PowerShell (MSOL) suivants :

Connect-MsolService

Vous serez ainsi invité à entrer les informations d’identification de votre client. Vous devriez être en mesure d’utiliser votre nom d’utilisateur d’administration Azure AD au admin@tenant.onmicrosoft.com format.

$displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId

Remplacez « nom de l’application » par le nom de votre « principal de service d’application ».

$roleName = "Company Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId

Cela ajoutera votre « principal de service d’application » au rôle d’administrateur de la société.

Par ailleurs, vous devez ajouter votre application à administrateur de compte d’utilisateur dans les rôles d’administration Office 365 si l’utilisateur Azure ad possède l’un des rôles d’organisation administrateurs suivants :

  • Administrateur général
  • Administrateur de facturation
  • Administrateur de service

Pour ce faire, exécutez toutes les applets de commande MSOL suivantes :

Connect-MsolService
$displayName = "Application Name" $objectId = (Get-MsolServicePrincipal -SearchString $displayName).ObjectId
$roleName = "User Account Administrator" Add-MsolRoleMember -RoleName $roleName -RoleMemberType ServicePrincipal -RoleMemberObjectId $objectId

Une fois que vous avez exécuté les deux jeux d’applets de commande, votre application est activée pour modifier le mot de passe de tous les rôles d' administrateur .

Notes

Une fois que vous avez ajouté les autorisations aux rôles d’administration Office 365, les autorisations peuvent prendre jusqu’à 30 minutes.

Informations supplémentaires

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.