我打算以编程方式在 AAD 的管理单元内创建一个新组。我将在服务主体的上下文中运行它。
我面临两个问题:
在 Graph SDK 版本 4.52.0 上找不到 AddAsync()
等待 graphClient.Directory.AdministrativeUnits["{administrativeUnit-id}"].Members.Request().AddAsync(newGroupObject);
错误 - 
我将 GroupAdministrator 角色分配给我的服务主体 + Directory.Read.All 图形 API 权限,但是,我仍然无法在 AU 内创建新组,并且显示权限不足。
端点 - https://graph.microsoft.com/v1.0/directory/administrativeUnits/40335129-6bd0-4190-a383-a42e3eae09dc/members/
如果我向服务主体分配 AdministrativeUnit.ReadWrite.All 权限,我就可以在 AU 内创建组。
为什么组管理员角色没有按预期工作?我错过了什么吗?
对于问题 #2,如果我向服务主体分配 AdministrativeUnit.ReadWrite.All 权限,我就可以在 AU 内创建组。
最佳答案
第一个问题,让我们 API document ,应该是下面的代码来添加组。
await graphClient.Directory.AdministrativeUnits["{administrativeUnit-id}"].Members.References
.Request()
.AddAsync(directoryObject);
对于问题2,让我们看看API权限部分,您需要group ReadWrite权限和Directory ReadWrite权限才能将组添加到管理单元。这就是为什么您会收到 Directory.Read.All 的权限不足错误。您只有读取权限。
然后您提到您将GroupAdministrator 角色添加到您的服务主体中。它只允许创建组,但不允许将组添加到管理单元。
关于azure - 无法使用图形 API 在管理单元内创建新组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75239905/