我正在使用Microsoft PowerShell Intune cmdlets来查询配置设置以进行审核。尽管使用AdminConsent授予应用程序访问权限,但我无法使用没有管理员访问权限的帐户进行连接。我还将用户明确添加到应用程序中,可以看到已授予“授权”访问权限。
我已使用以下管理员帐户成功连接到Azure环境:
Connect-MSGraph -AdminConsent
Get-DeviceManagement_DeviceCompliancePolicies
当使用不是全局管理员的另一个帐户运行此帐户时,我收到错误消息:
Get-DeviceManagement_DeviceCompliancePolicies : 401 Unauthorized
{
"error": {
"code": "UnknownError",
"message": "{\"ErrorCode\":\"Forbidden\",\"Message\":\"{\\r\\n \\\"_version\\\": 3,\\r\\n \\\"Message\\\":
\\\"An error has occurred - Operation ID (for customer support): 00000000-0000-0000-0000-000000000000 - Activity ID: 6407b0fa-a2fd-4564-8895-cc63b49e2201
但是,我看到我的用户具有预期的委托访问权限,包括:
| Microsoft Graph | Delegated | Perform user-impacting remote actions on Microsoft Intune devices |
| ------------------------------ | --------- | ----------------------------------------------------------------- |
| Microsoft Graph | Delegated | Read and write Microsoft Intune devices |
| Microsoft Graph | Delegated | Read and write Microsoft Intune RBAC settings |
| Microsoft Graph | Delegated | Read and write Microsoft Intune apps |
| Microsoft Graph | Delegated | Read and write Microsoft Intune Device Configuration and Policies |
| Microsoft Graph | Delegated | Read and write Microsoft Intune configuration |
| Microsoft Graph | Delegated | Read and write all groups |
| Microsoft Graph | Delegated | Read directory data |
| Microsoft Graph | Delegated | Sign users in |
| Windows Azure Active Directory | Delegated | Sign in and read user profile |
| Windows Azure Active Directory | Delegated | Read all groups |
尽管引用了我遇到的特定错误(“您的租户凭据支持管理功能”),但documentation却没有什么帮助。尚不清楚是否有可能使用只读帐户来收集数据。
答案 0 :(得分:0)
事实证明我还没有足够的耐心-权限“踢进”花了24个小时。
答案 1 :(得分:0)
我们遇到了这个问题,时间延迟不是问题。
在我们的案例中,根本原因是我们使用的服务帐户(用户对象)未在Azure AD中被授予“ Intune管理员”角色,这是此处提到的先决条件:https://docs.microsoft.com/en-us/samples/microsoftgraph/powershell-intune-samples/intune-graph-samples/
一旦添加了该角色,我们的Intune cmdlet就立即开始工作。