从 Azure 应用程序和 Runbook 连接 PnPOnline
问题描述 投票:0回答:2
我们有一个 Azure 应用程序注册,并从 Azure RunBook 运行 PowerShell 脚本,以将用户从 AAD 同步到 SharePoint 用户配置文件存储。 该应用程序已批准同意通过 aad 中的图表读取用户以及读取/写入 SharePoint 用户配置文件:
PowerShell 脚本通过应用程序连接到 graph 和 pnponline,运行良好。
$serviePrincipalName = 'ZZZ-SPOScript'
$servicePrincipalConnection=Get-AutomationConnection -Name $serviePrincipalName
Connect-MgGraph -TenantId $servicePrincipalConnection.TenantId -ClientId $servicePrincipalConnection.ApplicationID -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint
Connect-PnPOnline -Url "https://ourtenant-admin.sharepoint.com" -Tenant $servicePrincipalConnection.TenantId -ClientId $servicePrincipalConnection.ApplicationID -Thumbprint $servicePrincipalConnection.CertificateThumbprint
我们可以从aad获取所有用户:
$users = Get-MgUser -All -Property "Id,mail,UserPrincipalName,extension_b8fc35d8e8ec45e689d332303177957a_ZZZ_townCode,extension_b8fc35d8e8ec45e689d332303177957a_ZZZ_costNumber,extension_b8fc35d8e8ec45e689d332303177957a_employeeID,extension_b8fc35d8e8ec45e689d332303177957a_employeeNumber,extension_b8fc35d8e8ec45e689d332303177957a_ZZZ_title,extension_b8fc35d8e8ec45e689d332303177957a_ZZZ_office,extension_b8fc35d8e8ec45e689d332303177957a_extensionAttribute6,extension_b8fc35d8e8ec45e689d332303177957a_extensionAttribute7"
我们迭代所有用户:
foreach($user in $users) {...
但是当我们尝试通过调用从 SharePoint 获取用户配置文件属性时
$fldValue = (Get-PnPUserProfileProperty -Account $user.UserPrincipalName).UserProfileProperties."ZZZ-CostNumber";
我们得到当前用户不是租户管理员。
我们在 RunBook 中运行脚本的服务主体 ZZZ-SPOScript 当然不是租户管理员(并且永远不会)。
因此,我们通过 /_layouts/15/AppInv.aspx 添加了 Azure 应用程序注册的应用程序权限条目
具有以下权限可提升至完全控制
<AppPermissionRequests>
<AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" />
</AppPermissionRequests>
但是我们仍然得到当前用户不是租户管理员。如果脚本尝试调用 获取 PnPUserProfileProperty
我们是否遗漏了什么,或者这可能是 pnponline 中的错误吗?
其他发现:如此处所述,我们应该为社交功能添加完全控制权限。 所以,我将权限更新为
<AppPermissionRequests AllowAppOnlyPolicy="true">
<AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" />
<AppPermissionRequest Scope="http://sharepoint/social/tenant" Right="FullControl" />
但仍然是同样的错误。
2个回答
0
投票
投票
看起来第一个字符串中只有一个拼写错误:
$serviePrincipalName = 'ZZZ-SPOScript'
正确的应该是
$servicePrincipalName = 'ZZZ-SPOScript'
0
投票
投票
我正在回答我自己的问题。
首先,我们需要适当的 API 权限来进行应用程序注册:
以及正确的完全控制设置:
<AppPermissionRequests AllowAppOnlyPolicy="true">
<AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" />
<AppPermissionRequest Scope="http://sharepoint/social/tenant" Right="Read" /></AppPermissionRequests>
其次,我们必须连接应用程序注册的ClientId和ClientSecret。
Connect-PnPOnline -Url $adminUrl -ClientId $clientId -ClientSecret $clientSecret
然后 Get-PnPUserProfileProperty 和 Set-PnPUserProfileProperty 将起作用。
最新问题
- psql 与 postgres uri 和特殊字符的连接
- 美丽搜索。任务队列被冻结/卡住
- 媒体查询 min-width:319px) 和 (max-width:480px) 不适用于 Chrome,但适用于其他浏览器,而 @media(min-width:1601px) 不适用于任何地方
- 如何在使用 Livewire 上传之前在客户端压缩图像
- 如何从键值映射创建复选框列表平铺。颤振/飞镖
- 当我在模拟器中安装 flutter 应用程序时,它运行完美,但在我停止应用程序并再次运行后,它无法正常运行
- 我如何使用特定代码在ansible中获取play-book的输出并将其保存在excel文件中,
- 未定义名称“AppLocalizations”。 (文档)创建新项目后
- 是否可以在 TypeORM 中使用 TypeScript 联合类型?
- Woocommerce:仅强制将运输和付款方式设为单选按钮
- HTML 页面未显示
- 如何在 Zig 语言中比较两个忽略大小写的 UTF-8 字符串?
- 删除具有默认值(yang)的叶子
- 使用“testing-library”中的“screen”和“jsdom”时,如何并行运行测试?
- 如何让child_process.exec()运行.bat文件?
- 为 Google 预测服务客户端 - .NET 添加重试设置
- 使用 Decimal 库而不是 IEEE 754 数学的编译为 JavaScript 选项?
- 在相关图像上标记图像
- 客户端如何从QUIC短头数据包中识别目标连接ID?
- 从存储帐户部署代码时,Azure 函数事件中心触发绑定注册失败
© www.soinside.com 2019 - 2024. All rights reserved.