Azure Active Directory 将服务主体添加到组 - 无需分配目录权限

Posted 2023-02-19

技术标签:

【中文标题】Azure Active Directory 将服务主体添加到组 - 无需分配目录权限【英文标题】：Azure active directory add a service principal to a group - without assigning directory permissions 【发布时间】：2019-06-17 08:58:53 【问题描述】：

关于 Azure AD 和 Graph API 的问题将服务主体添加到 Azure AD 组需要目录权限。仅将成员添加到组中就很难获得目录权限的批准。有没有办法实现自动创建 AAD 组并将服务主体添加到其中而无需目录权限？

https://docs.microsoft.com/en-us/graph/api/group-post-members?view=graph-rest-1.0

【问题讨论】：

只有组才能将成员添加到您的应用程序将创建的组中吗？ 【参考方案1】：

从 API 的角度来看，简短的回答是否定的。（因为无论您如何尝试实现权限，都应该尊重权限）

作为一种解决方法，您可以分配一个可以帮助您解决方案的组所有者。这样您就不必通常授予所需的目录权限，而是将某人指定为特定组的所有者。

虽然，AFAIK，您可以将组所有者分配为用户（而不是服务主体）。我从 Azure 门户尝试过。

【讨论】：

以上是关于Azure Active Directory 将服务主体添加到组 - 无需分配目录权限的主要内容，如果未能解决你的问题，请参考以下文章

text Azure Active Directory身份验证

Azure *** 客户端 Azure Active Directory 身份验证

用于查询Azure Active Directory的Azure服务

Active Directory 从浏览器访问 Azure 存储

Azure Active Directory Powershell 管理

使用 azure-cli 访问 Azure Active Directory 的令牌