403 erreur interdite lors de l’utilisation de l’afficheur Graph pour inspecter ou modifier des objets Intune

Cet article fournit une solution au problème qui se produit lors d’une erreur 403 Forbidden lorsque vous essayez d’utiliser l’afficheur Graph pour inspecter ou modifier des objets Microsoft Intune.

Version du produit d’origine :   Microsoft Intune
Numéro de la base de connaissances initiale :   4532174

Symptômes

Lorsque vous essayez d’exécuter des requêtes dans l' Explorateur Graph pour inspecter ou modifier des objets Microsoft Intune sous l' https://graph.microsoft.com/beta/deviceManagement espace de noms, vous recevez un message d’erreur :

Failure-code d’état 403. Il semble que vous n’ayez pas les autorisations pour cet appel. Veuillez modifier vos autorisations.
{
    « erreur » : {
        « Code » : « interdit »,
        "message" : "{\r\n \ " _version \ " : 3, \R\n \ " message \ " : \ " l’application n’est pas autorisée à effectuer cette opération. L’application doit avoir l’une des étendues suivantes : DeviceManagementConfiguration. Read. All, DeviceManagementConfiguration. ReadWrite. All-Operation ID (pour le support technique) : 00000000-0000-0000-0000-000000000000-Activity ID : 5c977c7f-AE03-4BE0-82C2-408eafb65caf-URL : <https://fef.msub05.manage.microsoft.com/DeviceConfiguration_1911/StatelessDeviceConfigurationFEService/deviceManagement?api-version=5019-09-20 > \ ", \r\n \ " CustomApiErrorPhrase \ " : \ " \ ", \r\n \ " RetryAfter \ " : null, \r\n \ " ErrorSourceService \ " : \ " \ ", \r\n \ " HttpHeaders \ " : \ " {} \ "\r\n}",
        "innerError": {
            « demande-ID » : « 5c977c7f-AE03-4BE0-82C2-408eafb65caf »,
            "date" : "2019-11-15T18:53:00"
        }
    }
}

capture d’écran des détails de l’erreur 403

Cause

Ce problème se produit car les autorisations lecture et lecture/écriture requises pour la configuration et les stratégies de l’appareil Intune ne sont pas accordées.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Connectez-vous à l’afficheur Graph en sélectionnant se connecter à Microsoft, si vous ne l’avez pas encore fait.

  2. Dans le message d’erreur, sélectionnez modifier vos autorisations.

    capture d’écran de la modification de vos autorisations

  3. Dans la boîte de dialogue modifier les autorisations , assurez-vous que les autorisations suivantes sont sélectionnées :

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    capture d’écran des options de modification des autorisations

  4. Sélectionnez modifier les autorisations.

    Notes

    Vous devez être déconnecté de Graph Explorer et vous êtes invité à sélectionner des informations d’identification. Si cette opération ne se produit pas automatiquement, fermez le navigateur et rouvrez l’Explorateur Graph.

  5. La prochaine fois que vous essayez d’accéder à l’afficheur Graph en utilisant le même compte, vous êtes invité par une boîte de dialogue d' autorisations demandée qui ressemble à ce qui suit.

    Autorisations demandées

  6. Sélectionnez accepter pour appliquer les modifications que vous avez apportées à l’étape 3. Si vous souhaitez que d’autres administrateurs Intune aient également accès au site, sélectionnez consentement au nom de votre organisation.

  7. Vérifiez que vos autorisations sont définies correctement. Pour ce faire, sélectionnez modifier les autorisations pour votre compte, puis vérifiez que les autorisations suivantes sont accordées :

    • DeviceManagementConfiguration.Read.All
    • DeviceManagementConfiguration.ReadWrite.All

    capture d’écran des autorisations de vérification

Informations supplémentaires

La première fois que vous vous connectez à l’Explorateur Graph, vous êtes invité par une boîte de dialogue d' autorisations demandée qui ressemble à ce qui suit.

capture d’écran des autorisations demandées

En sélectionnant accepter, vous accordez à l’application des autorisations d’accès à votre compte de connexion. En sélectionnant consentement pour le compte de votre organisation, vous permettez aux autres comptes d’utiliser l’afficheur Graph pour interroger les objets de gestion Intune. Cela crée une application d’entreprise dans Azure AD qui possède les paramètres suivants :

  • Name : Explorateur de graphiques
  • ID de l’application : de8bc8b5-d9f9-48b1-A8AD-b748da725064
  • ID d’objet : GUID unique
  • Activé pour la connexion de l’utilisateur : Oui
  • Affectation de l’utilisateur requise : non
  • Visible par les utilisateurs : Oui
  • Utilisateurs et groupes : par défaut, seul le compte qui a accordé l’accès au préalable dans la boîte de dialogue autorisations demandées .

Voici les autorisations utilisateur par défaut qui sont définies une fois que vous avez accordé l’accès sous le consentement de l' utilisateur.

Notes

Vous pouvez afficher les autorisations dans le portail Azure à l’emplacement suivant :
Azure Active Directory > Applications > d’entreprise Toutes les applications > Explorateur Graph >  Utilisateurs et groupes > <Account Name> >  Applications > Détail de l' affectation > Autorisations & consentement

Nom de l’API Type Autorisation Accordé via
Microsoft Graph Déléguée Connecter des utilisateurs Consentement de l’utilisateur
Microsoft Graph Déléguée Afficher les profils de base des utilisateurs Consentement de l’utilisateur
Microsoft Graph Déléguée Accès en lecture et en écriture aux profils utilisateur Consentement de l’utilisateur
Microsoft Graph Déléguée Lire les profils de base de tous les utilisateurs Consentement de l’utilisateur
Microsoft Graph Déléguée Modifier ou supprimer des éléments dans toutes les collections de sites Consentement de l’utilisateur
Microsoft Graph Déléguée Avoir un accès total à des contacts utilisateur Consentement de l’utilisateur
Microsoft Graph Déléguée Lire les listes des contacts pertinents des utilisateurs Consentement de l’utilisateur
Microsoft Graph Déléguée Lire et écrire tous les blocs-notes OneNote auxquels les utilisateurs peuvent accéder Consentement de l’utilisateur
Microsoft Graph Déléguée Créer, lire, mettre à jour et supprimer des tâches et des projets utilisateur Consentement de l’utilisateur
Microsoft Graph Déléguée Accéder en lecture et en écriture aux courriers électroniques utilisateur Consentement de l’utilisateur
Microsoft Graph Déléguée Disposer d’un accès total à tous les fichiers auxquels les utilisateurs peuvent accéder Consentement de l’utilisateur
Microsoft Graph Déléguée Avoir un accès total à des calendriers utilisateur Consentement de l’utilisateur

Si vous sélectionnez consentement au nom de votre organisation, vous disposez des autorisations suivantes sous consentement de l' administrateur.

Nom de l’API Type Autorisation Accordé via
Microsoft Graph Déléguée Connecter des utilisateurs Consentement de l’administrateur
Microsoft Graph Déléguée Afficher les profils de base des utilisateurs Consentement de l’administrateur
Microsoft Graph Déléguée Accès en lecture et en écriture aux profils utilisateur Consentement de l’administrateur
Microsoft Graph Déléguée Lire les profils de base de tous les utilisateurs Consentement de l’administrateur
Microsoft Graph Déléguée Modifier ou supprimer des éléments dans toutes les collections de sites Consentement de l’administrateur
Microsoft Graph Déléguée Avoir un accès total à des contacts utilisateur Consentement de l’administrateur
Microsoft Graph Déléguée Lire les listes des contacts pertinents des utilisateurs Consentement de l’administrateur
Microsoft Graph Déléguée Lire et écrire tous les blocs-notes OneNote auxquels les utilisateurs peuvent accéder Consentement de l’administrateur
Microsoft Graph Déléguée Créer, lire, mettre à jour et supprimer des tâches et des projets utilisateur Consentement de l’administrateur
Microsoft Graph Déléguée Accéder en lecture et en écriture aux courriers électroniques utilisateur Consentement de l’administrateur
Microsoft Graph Déléguée Disposer d’un accès total à tous les fichiers auxquels les utilisateurs peuvent accéder Consentement de l’administrateur
Microsoft Graph Déléguée Avoir un accès total à des calendriers utilisateur Consentement de l’administrateur

Résolution des problèmes

Pour rétablir les paramètres par défaut de votre client, vous pouvez supprimer et recréer en toute sécurité une configuration d’application d’entreprise Graph Explorer.Pour cela, procédez comme suit :

  1. Connectez-vous au portail Azure, accédez à Azure Active Directory > Enterprise Applications, puis sélectionnez Explorateur Graph dans la liste des applications.

  2. Dans les paramètres de l’afficheur Graph, sélectionnez gérerles > Propriétés.

  3. Sélectionnez supprimer, puis accusez réception de la boîte de dialogue d’avertissement.

  4. La suppression de l’afficheur Graph d’application a été supprimée avec succès du portail Azure.

  5. Connectez-vous à l’afficheur Graph en sélectionnant se connecter avec Microsoft.Si l’application est supprimée avec succès, vous serez invité à accepter les autorisations par défaut.

    Notes

    Il peut y avoir plusieurs minutes de retard entre le moment où vous supprimez l’accès à l’afficheur Graph lorsque les autorisations deviennent efficaces dans l’application.

Important

Pour éviter les problèmes affectant la mise en cache du navigateur, parcourez le mode InPrivate ou incognito lorsque vous dépannez les autorisations d’accès.