Разрешение Sites.Selected перестало работать сегодня утром
У нас есть многопользовательское приложение, которое сильно зависит от Graph API. Мы получаем доступ к обоим почтовым ящикам через Messages API и сайтам Sharepoint через Files API. Большинство клиентов используют очень разрешительную модель доступа, чтобы получить больше функций, доступных в нашем приложении. У некоторых есть строгие требования к доступу, и для тех нам разрешен доступ только к определенному сайту sharepoint. Для этого сайта мы зарегистрировали другой AppId для использования разрешений Sites.Select, где глобальный администратор клиентов разрешает доступ к нашему приложению с помощью PowerShell.
Это работало нормально до сегодняшнего утра, когда все запросы к Files API возвращают «403 Forbidden», а C# SDK возвращает «Отказано в доступе».
Я попросил клиентов выполнить команду PowerShell, чтобы проверить, есть ли у нас доступ к их сайту Sharepoint:
Get-PnPAzureADAppSitePermission -AppId 'xxxxxxxxxxxx'
но все они получают одно и то же сообщение об ошибке:
Get-PnPAzureADAppSitePermission: Operation Failed
Используется командлет Pnp.PowerShell версии 1.10.
Кто-нибудь знает, почему это произошло с MS Graph или ошибка PS связана с ошибкой Graph? Microsoft что-то изменила?
Ответы 3
Точно такой же выпуск во вторник по новозеландскому времени. Использование кода C#/Postman и PowerShell напрямую.
Я зарегистрировал тикет в Microsoft, поскольку, по моему мнению (не знаю), это регрессия кода на PNP. Я обновлю здесь, если что-нибудь услышу.
У нас есть 2 приложения (тестовое и рабочее), оба начали давать сбой во вторник утром с сообщениями 403 /отказано в доступе.
Когда я попытался проверить разрешения и сбросить разрешения, используя Get-PnPAzureADAppSitePermission или грант-PnPAzureADAppSitePermission
Powershell пишет: "Операция не поддерживается"
Полный текст
Grant-PnPAzureADAppSitePermission: {"error":{"code":"notSupported","message":"Операция не поддерживается","innerError":{" date":"2022-05-16T23:39:16","ID-запроса":"xxxx-azureappid-yyyy","ID-клиента-запроса":"xxxx-azureappid-yyyy"}}} В строке:8 символ:1
- Grant-PnPAzureADAppSitePermission -AppId $appId -DisplayName 'TenantName...
+ CategoryInfo : NotSpecified: (:) [Grant-PnPAzureADAppSitePermission], HttpRequestException + FullyQualifiedErrorId : System.Net.Http.HttpRequestException,PnP.PowerShell.Commands.Apps.GrantPnPAzureADAppSite Permission
Просто из любопытства - где и как вы сообщаете об этом в службу поддержки Microsoft? В последний раз я проверял, что вы можете использовать только SO
Это было признано MS как непредвиденная проблема службы и может быть отслежено как SP381039.
Заголовок: Пользователи могут видеть ошибки "Отказано в доступе" при использовании Graph API для SharePoint Online.
Влияние пользователя: Пользователи могут видеть ошибки "Отказано в доступе" при использовании Graph API для SharePoint Online.
Текущий статус: Мы обнаружили, что компоненты функции проверки подлинности неожиданно отсутствуют в средах некоторых пользователей, что приводит к сбою запросов на доступ к Graph API. Мы повторно развертываем затронутую функцию в затронутых средах, чтобы устранить последствия. Параллельно мы изучаем недавние изменения функций идентификации, почему компоненты неожиданно отсутствуют.
Следующее обновление от: вторник, 17 мая 2022 г., 17:00 UTC
Последнее обновление от MS, полученное 17 мая 16:45:
Текущий статус: Мы подтвердили, что недавняя неправильная конфигурация развертывания функции помешала компонентам, связанным с функцией проверки подлинности, быть доступными в группе пользовательских сред, что приводит к ошибкам «Отказано в доступе» при использовании Graph API для SharePoint Online. Мы подтвердили, что повторное развертывание функции проверки подлинности в некоторых затронутых средах устранило проблему. Сейчас мы повторно развертываем эту функцию во всех оставшихся затронутых средах, что, как ожидается, устранит последствия.
Сфера воздействия: Эта проблема потенциально может затронуть любого из ваших пользователей, пытающихся использовать API-интерфейсы Graph для SharePoint Online.
Первопричина: Из-за неправильной настройки недавнего развертывания функция проверки подлинности не была доступна в группе клиентских сред, что привело к последствиям.
Следующее обновление от: вторник, 17 мая 2022 г., 21:30 UTC
Спасибо за эту информацию. Я просмотрел admin.microsoft.com для своего клиента, и проблема не обнаружилась в моей работоспособности службы. Это там, где вы видите идентификатор? Интересно, нужно ли мне сообщать об этом через мой Service Health (кстати, определенно вижу проблему).
Сегодня утром, когда я проверил это, все вернулось к тому, что было в пятницу по новозеландскому времени.
Я получил известие от Microsoft через тикет, который я зарегистрировал, что «команда PG восстановила обновление из серверной части». Это не сработало прошлой ночью, но сегодня утром мы снова в строю.
Я надеюсь, что ваши владения тоже вернутся. Если нет, зарегистрируйте билет Microsoft, если можете. Делаю это через страницу https://admin.microsoft.com/Adminportal/Home?source=applauncher#/support/requests через пункт меню "Новый запрос на обслуживание". У нас есть эта функция благодаря нашему контракту с Microsoft.
Мне позвонили в службу поддержки Майкрософт. Они говорят мне, что другие клиенты сообщают о тех же сообщениях об ошибках, и они перенаправили мой звонок в группу Project Engineering (PG). Если я получу какие-либо обновления, я опубликую их здесь.