在Azure云中,如何在没有全局管理员和有限管理员的情况下管理组用户?我们希望通过应用程序(c#或RestAPI)提供此功能。
答案 0 :(得分:0)
您似乎在使用委派的权限范围请求Azure Graph REST。
委派的权限范围适用于用户登录的应用。这些范围将登录用户的权限委派给应用程序,允许该应用程序充当已登录用户。 授予应用程序的实际权限将是范围授予的权限与登录用户拥有的权限的最小权限组合(交集)。例如,如果权限范围授予委派权限以写入所有目录对象,但登录用户仅具有更新其自己的用户配置文件的权限,则该应用程序将只能编写已登录用户的配置文件但没有其他对象。
根据我的理解,要管理群组成员资格,用户可以是群组的所有者或该租户的管理员。如果您想在没有管理员的情况下管理组成员身份,则可以将要管理组成员身份的用户分配给该组的所有者。
由于为组所有者调用Azure AD Graph REST需要范围Group.ReadWrite.All
,Directory.AccessAsUser.All
,因此您的Web应用需要执行admin consent以将这些范围授予普通用户的网络应用程序。