Изменить пользователей через Exchange Online REST Api

Question

Я пытаюсь создать сценарий PowerShell, который может изменять пользователей Exchange Online через Exchange Online REST API. Мне нужно установить поля Title, City, Department и Manager через API. Согласно интерактивной документации об обмене, у контактного объекта есть все обязательные поля, которые я хотел бы установить. Однако похоже, что API не позволяет мне делать изменения на пользовательском рычаге. Это немного запутанно.

Если я пытаюсь получить доступ к конечной точке пользователей я получил сообщение об ошибке:

Invoke-RestMethod : {"error":{"code":"ErrorAccessDenied","message":"Access is denied. Check credentials and try again."}} 

Однако я установил все разрешения для приложения в Azure Active Directory.

Вот скрипт, который я использую:

Add-Type -Path ".\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"; 
  
$clientId = "<<Application Client ID>>"; 
$certFileFullName = "<<Path to certificate file>>"; 
$certFilePassword = "<<Password to certificate file>>"; 
$tenantId = "<<Tenant ID>>"; 
  
$authContext = New-Object Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext("https://login.windows.net/$tenantId/oauth2/authorize", $false); 
  
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 ($certFileFullName, $certFilePassword, [System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::MachineKeySet); 
$clientAssertionCertificate = new-Object Microsoft.IdentityModel.Clients.ActiveDirectory.ClientAssertionCertificate($clientId, $cert); 
  
$authenticationResult = $authContext.AcquireToken("https://outlook.office365.com", $clientAssertionCertificate); 
    
$token = $authenticationResult.AccessToken; 
  
$headers = @{ 
    "Authorization" = ("Bearer {0}" -f $token); 
    "User-Agent" = "SyncTool/0.1PowerShell"; 
    "client-request-id" = [System.Guid]::NewGuid().ToString(); 
    "Date" = Get-Date -Format r; 
    "Accept" = "application/json"; 
} 
  
Invoke-RestMethod -Method Get -Uri "https://outlook.office365.com/api/v1.0/Users" -Headers $headers; 

ли кто-то сделать это с помощью Exchange Online REST API? Возможно ли это?

Как я могу разработать приложение-демон, которое использует аутентификацию AAD для приложений только для пользователей Exchange Online?

-Dmitry

Answer 1

Вот способ атаковать эту проблему простым методом, используя модуль PowerShell. Поскольку у вас уже есть доступ к отличному и полнофункциональному инструменту PowerShell, по моему опыту нет никаких оснований делать это вручную с помощью REST API.

Использование MSONline модуля

Мы можем сделать все, что вам нужно сделать, кроме установленного менеджера с помощью этого модуля

• Сначала установите модуль MSOnline.

• Затем замените информацию в строках 3 и 4 своими собственными учетными данными.

  import-module MSOnline 
  
  $secpasswd = ConvertTo-SecureString 'P@ssw0rdHer3!' -AsPlainText -Force 
  $credGuest = New-Object System.Management.Automation.PSCredential ('testest@sred13gmail.onmicrosoft.com', $secpasswd) 
  
  
  connect-msolservice -credential $credGuest 
  
  Get-MsolUser | ? DisplayName -eq 'JSamson' | 
  Set-MsolUser -Department 'Ham Research Team' -Title "Lead Pork Architect" -City "Hamburg" 
  
  Get-MsolUser | ? DisplayName -eq 'JSamson' | Select *Name,Title,City,Depar* | fl 
  
  
  
  DisplayName  : JSamson 
  FirstName   : Joe 
  LastName   : Sampson 
  SignInName  : JoeSampson@sred13gmail.onmicrosoft.com 
  UserPrincipalName : JoeSampson@sred13gmail.onmicrosoft.com 
  Title    : Lead Pork Architect 
  City    : Hamburg 
  Department  : Ham Research Team 
  

Установка атрибута менеджера

Оказывается, атрибут менеджер не доступен из этого модуля. Не знаю, почему это так. Я работаю над решением этой пьесы для вас и буду обновлять этот ответ, когда я его закончу.

---

Когда нет дороги, сделать свой собственный

Интегрирование некоторые замечательные советы, найденные на этом блоге http://goodworkaround.com/node/73 Мариуса Solbakken Mellum, мы имели основание для подключения к Azure AD. Далее, используя замечательный API, предоставляемый в DLL Azure AD Graph (вы можете получить его с помощью команды nuget. \ Nuget.exe установите Microsoft.IdentityModel.Clients.ActiveDirectory и справочное руководство API Azure AD Restore, этот набор функции были построены.

Этот инструмент содержит ряд рабочих функций, таких как Get-MSOLGraphUser и Get-MsSOLGraphUserManager. Они в первую очередь предназначены для использования командлетом Set-MSOLGraphUserManager, но вы можете свободно изменять и использовать их в своем сердце.

New versions of this project will live in GitHub at this url

Пример:

Set-MSOLGraphUserManager -targetUser Test -targetManager Stephen 
>Successfully found user to modify PSTest 
>Successfully looked up manager Stephen Owen 
>Updating the manager 
>Verifying manager now set for PSTest 
>Getting user manager 
>PSTest's manager is now Stephen Owen           

Answer 2

Вы должны Office 365 unified API, которая находится в общественном просмотре перечислять или изменять информацию о пользователях в Azure Active Directory. Этот API находится в Public Preview, и мы активно работаем над его получением в GA. Тем временем, если вам нужно настроить пользователей в настройках производства, пожалуйста, Azure AD Graph API. Это поддерживаемые конечные точки для управления информацией пользователя в каталоге. Конечная точка https://outlook.office365.com/api позволяет указать почтовый ящик пользователя, к которому вы хотите получить доступ, но не позволяет вам перечислять пользователей, поскольку это функция каталога.