更新approles使用GraphApi

Question

我試圖更新使用GraphApi爲Azure的AD應用appRoles卻得到一個錯誤，說明Authorization_RequestDenied與足夠的權限來完成操作錯誤的Azure中的ActiveDirectory應用。

我使用郵遞員調用REST端點https://graph.windows.net//applications/d66c96ea-56fd-41c8-884b-fc0664792f7d?api-version=1.6

這是身體爲5月PATCH請求：

{ 
    "appRoles": [ 
     { 
      "allowedMemberTypes": [ 
      "User" 
      ], 
      "description": "Writer has the ability to create tasks", 
      "displayName": "Writer", 
      "id": "66ea9f02-31b0-40b2-94fb-67a408bc10e3", 
      "isEnabled": true, 
      "value": "Writer" 
     } 
     ] 
} 

我已經添加的所有權限的Microsoft Graph和Windows Azure的活動目錄從我的AAD申請。

我在AAD有2個應用程序。其中一個被稱爲PostMan OAuth2.0的「PostMan」，這樣我就可以得到一個不記名的令牌。另一個名爲「TaskTrackerApp」，我試圖通過GraphApi設置appRoles。

感謝您的幫助！

Answer 1

您可以嘗試將您使用的AD應用程序的角色升級到管理員權限。在PowerShell中運行以下命令：

Connect-MsolService 
$ClientIdWebApp = '{your_AD_application_client_id}' 
$webApp = Get-MsolServicePrincipal –AppPrincipalId $ClientIdWebApp 
#use Add-MsolRoleMember to add it to "Company Administrator" role). 
Add-MsolRoleMember -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId 

Answer 2

你在應用程序「PostMan」上配置了什麼RequiredResourceAccess列表，以及正在進行更改的人員是他/她是該應用程序的所有者「TaskTrackerApp」還是目錄中的全局管理員？