尝试使用已由全局管理员授权的OAuth应用令牌更新管理员用户上的accountEnabled时,我没有足够的权限。
应用权限:User.ReadWrite.All
PATCH /v1.0/users/{{ ADMIN USER ID }} HTTP/1.1
HOST : graph.microsoft.com
HEADERS:
Accept: application/json
Authorization: Bearer {{ OAUTH APP TOKEN }}
Content-Type: application/json
BODY :
{
"accountEnabled": false
}
STATUS : 403 Forbidden
BODY :
{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"request-id": "9c6f279f-f781-4da5-948d-aa3d97ef5103",
"date": "2020-02-16T00:58:37"
}
}
}
我猜测note in the user update doc适用于超出指定数量的字段。
仅在非管理员或具有以下角色之一的用户上允许更新其他用户的businessPhones,mobilePhone或otherMails属性:目录读取器,访客邀请者,消息中心读取器和报告读取器。有关更多详细信息,请参阅Azure AD可用角色中的帮助台(密码)管理员。授予User.ReadWrite.All或Directory.ReadWrite.All委派权限或应用程序权限的应用程序就是这种情况。
但是,如果是这种情况,还有另一种方法来获得使用OAuth应用程序锁定管理员帐户的权限吗?