首先,我知道这是预览/测试版功能。
我正在尝试设置PIM角色的approverId,但是遇到403错误,根据https://docs.microsoft.com/en-us/graph/api/privilegedrolesettings-update?view=graph-rest-beta&tabs=http,我需要的只是PrivilegedAccess.ReadWrite.AzureAD,Directory.AccessAsUser.All并成为成员特权角色管理员,全局管理员,安全管理员或安全阅读器(粗体 =当前成员)。
在这个阶段,我正在尝试通过图形浏览器使其工作。
https://developer.microsoft.com/en-us/graph/graph-explorer#
我可以通过以下方式检索所有设置:
GET https://graph.microsoft.com/beta/privilegedRoles/f023fd81-a637-4b56-95fd-791ac0226033/settings
但是,一旦我尝试进行设置,它就会失败
PUT https://graph.microsoft.com/beta/privilegedRoles/f023fd81-a637-4b56-95fd-791ac0226033/settings
我尝试了请求正文的各种组合,包括仅将其限制为approverIds。
请求正文
{
"approverIds": [
"862a56d5-d987-462b-95a5-85ef174b149e"
],
"minElevationDuration": "PT0S",
"maxElavationDuration": "PT0S",
"elevationDuration": "PT4H",
"id": "f023fd81-a637-4b56-95fd-791ac0226033",
"notificationToUserOnElevation": true,
"ticketingInfoOnElevation": false,
"mfaOnElevation": true,
"lastGlobalAdmin": false,
"isMfaOnElevationConfigurable": true,
"approvalOnElevation": true
}
结果是:
失败-状态码403,1807ms看起来您可能没有此呼叫的权限。请修改您的权限。
如果我单击“修改您的权限”,则可以看到所需的权限(根据文档)已得到同意。
答案 0 :(得分:1)
好吧,至少对于此特定请求,似乎Microsoft的文档有误,并且要进行更新,您需要成为“特权角色管理员”的成员。全球管理员,安全管理员或安全读取器还不够。