Question

我们有一个应用程序，该应用程序配置了服务主体以授予对天蓝色资源的访问权限。该服务主体的密码配置为有效期。

我们要配置我们的应用程序以使其服务主体凭据密码的到期日期为已知。授予服务主体访问权的最佳方法是什么？

默认情况下，这是不允许的。

az ad app show --id xxxxxxxxxx

Insufficient privileges to complete the operation.

但是可以启用某些API权限（旧版Azure Active Directory图形/Directory.Read.All），它可以工作，但这似乎太开放了。

有什么方法可以授予访问权限，以仅查看来自其自己的应用程序ID的数据？哪个是最好的方法？

Answer 1

AFAIK，看来您无法做到这一点。至少您需要授予Application.ReadWrite.All权限。命令az ad app show --id xxxxxx本质上调用了azure广告图api，您可以使用--debug进行检查。

要调用此api（从最低特权到最高特权），它需要Application.ReadWrite.OwnedBy，Application.ReadWrite.All，Directory.Read.All。就您而言，Application.ReadWrite.OwnedBy是不可选项。

此外，我还测试了az ad signed-in-user show，如果您使用AD App登录，它似乎不支持使用此命令。