在我的应用程序中,我希望能够以编程方式在Azure Active Directory中创建和删除用户帐户。该程序需要无人值守。
我能够create Azure AD用户,但在deleting用户帐户时仍然会出现问题。具体来说,我收到以下错误消息:
windows.h我认为这是设计原因,因为文档指出只支持委派权限。 MS Graph团队的某些人是否可以确认无法以无人值守的方式删除AD用户(例如,没有提示输入管理员用户帐户和密码)?这个功能将来会得到支持吗?
有没有不同的方法来解决这个问题? Azure AD Graph API会为此工作吗(即使不建议现在使用)?
答案 0 :(得分:1)
这是正确的,DELETE /users/{id}需要Directory.AccessAsUser.All,这仅适用于委派方案。
考虑到这将引入的安全风险,这种可能性不大。创建用户的流氓应用程序肯定会非常烦人,但是一个流氓应用程序删除用户将是彻头彻尾的灾难。
我的建议是让您的应用程序维护一个"删除队列"。只要您需要删除用户,只需将id添加到队列即可。然后为管理员提供交互式体验,允许他们在查看列表后登录和删除排队用户。