更新approles使用GraphApi

Question

我试图更新使用GraphApi为Azure的AD应用appRoles却得到一个错误，说明Authorization_RequestDenied与足够的权限来完成操作错误的Azure中的ActiveDirectory应用。

我使用邮递员调用REST端点https://graph.windows.net//applications/d66c96ea-56fd-41c8-884b-fc0664792f7d?api-version=1.6

这是身体为5月PATCH请求：

{ 
    "appRoles": [ 
     { 
      "allowedMemberTypes": [ 
      "User" 
      ], 
      "description": "Writer has the ability to create tasks", 
      "displayName": "Writer", 
      "id": "66ea9f02-31b0-40b2-94fb-67a408bc10e3", 
      "isEnabled": true, 
      "value": "Writer" 
     } 
     ] 
} 

我已经添加的所有权限的Microsoft Graph和Windows Azure的活动目录从我的AAD申请。

我在AAD有2个应用程序。其中一个被称为PostMan OAuth2.0的“PostMan”，这样我就可以得到一个不记名的令牌。另一个名为“TaskTrackerApp”，我试图通过GraphApi设置appRoles。

感谢您的帮助！

Answer 1

您可以尝试将您使用的AD应用程序的角色升级到管理员权限。在PowerShell中运行以下命令：

Connect-MsolService 
$ClientIdWebApp = '{your_AD_application_client_id}' 
$webApp = Get-MsolServicePrincipal –AppPrincipalId $ClientIdWebApp 
#use Add-MsolRoleMember to add it to "Company Administrator" role). 
Add-MsolRoleMember -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId 

Answer 2

你在应用程序“PostMan”上配置了什么RequiredResourceAccess列表，以及正在进行更改的人员是他/她是该应用程序的所有者“TaskTrackerApp”还是目录中的全局管理员？