1

我正在尝试测试一些 Beta InTune 特定的 Graph API,但它们需要以下任一范围:DeviceManagementApps.ReadWrite.All;DeviceManagementApps.Read.All

当我创建一个测试应用程序时,我看不到这些应用程序或委托权限。

我尝试在 Azure AD 和 Azure AD 2.0 端点中创建一个测试应用程序。我可以通过查询https://graph.microsoft.com/beta/ $metadata看到 beta API 存在,但是当我尝试使用其中任何一个时,我得到以下响应:

状态码:401

{
    "error": {
        "code": "Forbidden",
        "message": "An error has occurred - Operation ID (for customer support): 00000000-0000-0000-0000-000000000000 - Activity ID: 054070f2-43ab-4ea2-8150-b91449faaadd - Url: https://fef.amsua0502.manage.microsoft.com/MAMAdmin/MAMAdminFEService/managedAppStatuses?api-version=2016-06-16",
        "innerError": {
            "request-id": "054070f2-43ab-4ea2-8150-b91449faaadd",
            "date": "2017-01-12T19:24:03"
        }
    } }
4

2 回答 2

2

我在 Microsoft Intune 团队工作,特别是 Microsoft Intune 和 Microsoft Graph 之间的集成。

目前,范围在 Azure AD 端点中不可用,但我们正在努力在月底解决该问题,因为范围尚不可用,我们不会强制将它们分配给您的应用程序。一旦范围在 Azure AD 端点中可用,我们将强制将它们分配给您的应用程序。

您收到错误的原因是您没有为您用于调用 Microsoft Graph 的帐户分配 Intune 许可证。这是当前预览版的一个限制,我们希望能尽快将其移除。同时,您应该能够通过使用https://docs.microsoft.com/en-us/intune/get-started/start-with-a-paid-subscription上的说明分配 Intune 许可证来解决此问题-to-microsoft-intune-step-4

您还应注意,目前 Intune API 仅适用于有权访问 Azure 门户预览中的 Microsoft Intune 的用户。您可以在 Azure 门户预览中查看有关 Microsoft Intune 的更多信息,网址为https://docs.microsoft.com/en-us/intune-azure/introduction/what-is-microsoft-intune

希望这可以帮助

彼得

于 2017-01-17T18:06:28.643 回答
0

请查看以下文章:Active Directory V2 Scopes

这也可能有帮助:身份验证概述 (MS GRAPH)

请注意,您的应用程序必须请求对您要访问的 API 的权限。您可以通过将应用程序配置为对所需 API 具有“所需资源访问权限”来设置您想要静态请求的权限。或者更好的选择是在请求访问令牌时动态请求所需的权限。有关如何执行此操作的说明在上面的第一个链接中。

您可以通过解码令牌并检查令牌中的“scp”声明来验证您的令牌是否具有正确的范围,该声明应包含一个以空格分隔的范围列表,您的应用已被授予访问权限。

在我看来,您已经正确注册了一个应用程序,但还没有完全实现获得所需范围所需的正确设置或流程。

让我知道这是否有帮助!

于 2017-01-12T19:37:08.790 回答