在Azure AD应用程序注册中,我们具有“所有者”选项卡。它显示为“除了有权管理任何应用程序的用户之外,此处列出的用户还可以查看和编辑此应用程序注册。”。我们的文档显示,“更改应用程序属性,例如应用程序请求的名称和权限”
应用所有者可以更改“ API权限” /“授予许可” /“添加许可”等吗?如果是,那么他们如何做到这一点(以编程方式,API,PowerShell模块?)
应用所有权图片-https://i.imgur.com/JOr4J7u.jpg
答案 0 :(得分:0)
应用所有者可以更改/添加API权限,但是他将无法授予ADMIN CONSENT REQUIRED的许可,以要求最终用户每次进行身份验证时都必须同意该应用,将&prompt=consent附加到身份验证请求URL,更多详细信息请参见此doc。
要将更改或添加到AD App的API权限,可以使用powershell,请参阅此post。
$req = New-Object -TypeName "Microsoft.Open.AzureAD.Model.RequiredResourceAccess"
$acc1 = New-Object -TypeName "Microsoft.Open.AzureAD.Model.ResourceAccess" -ArgumentList "e1fe6dd8-ba31-4d61-89e7-88639da4683d","Scope"
$acc2 = New-Object -TypeName "Microsoft.Open.AzureAD.Model.ResourceAccess" -ArgumentList "798ee544-9d2d-430c-a058-570e29e34338","Role"
$req.ResourceAccess = $acc1,$acc2
$req.ResourceAppId = "00000003-0000-0000-c000-000000000000"
Set-AzureADApplication -ObjectId 1048db5f-f5ff-419b-8103-1ce26f15db31 -RequiredResourceAccess $req