我有一个应用程序需要创建 AD 组并通过 Graph API 更新其成员资格。我将使用服务主体来执行此操作。
我试图理解以下之间的区别:
- 将服务主体分配给 Azure AD 角色(例如“用户管理员”:https://learn.microsoft.com/en-us/azure/active-directory/roles/delegate-by-task#groups)
- 向服务主体添加 API 权限(例如 Microsoft Graph API 的“Group.ReadWrite.All”:https://learn.microsoft.com/en-us/azure/active-directory/roles/delegate-by-task#groups)
这里有什么区别?他们是否都有效地授予了相同的权限?
最佳答案
内置角色只是权限的集合,因此您的答案可以是肯定的。如果您授予与内置角色相同的权限,那么您将获得相同的有效权限。 “用户管理员”角色具有以下权限:
我们创建了内置角色,以便用户更轻松地快速实现基于角色的访问控制。如果内置角色不能满足您的需求,您可以随时创建自定义角色。
关于Azure 服务主体 - API 权限与 AD 角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66976234/