在Azure Active Directory中,我们注册了一个应用程序(在“应用程序注册”下列出了那些应用程序),该应用程序需要API权限才能将当前的AD用户授予现有的AD Enterprise应用程序。目的是允许应用程序获取用户的身份,发出MS Graph请求,并授予该用户访问企业应用程序的权限。
我们必须手动登录到Azure门户->打开企业应用程序->单击“用户和组”->单击“添加用户”按钮->在AD中找到用户->最后是“分配”将它们发送给企业组织。
在MS Graph文档中进行搜索,我发现AppRoleAssignment.ReadWriteAll听起来不错,但为应用程序提供了过多的访问权限,而Application.ReadWrite.OwnedBy则限制了更多,但是我不知道是否允许用户已添加到企业应用程序。我想念什么吗?
谢谢您的时间。