Question

Azure 用户分配的标识无法读取 AzureAD

2020-12-17

304

azure powershell azure-active-directory azure-managed-identity

我尝试在函数应用程序内的 Powershell 脚本中获取 Azure AD 组信息。我正在使用以下命令。

Get-AzADGroup -DisplayName avktestx4054ce26FCA

但是，如果抛出错误，提示“权限不足，无法完成操作”。执行此命令所需的最低权限是什么。目前它具有 Microsoft Graph“读取所有组”权限。

请帮忙。

Answer 1

此命令本质上调用的是 Azure AD Graph 而不是 Microsoft Graph ，因此 Microsoft Graph 的权限不会生效，这里需要的是 Azure AD Graph 中的 应用程序权限 （而不是 委托权限 ） Directory.Read.All 。从你的描述中，我想你已经知道了向用户分配的身份授予 API 权限的方法，这里就不再赘述了。

另一种方法是向用户分配的身份授予 Azure AD 管理员角色，例如 Directory Readers ，该角色的权限小于上面的 Directory.Read.All ，而且AAD Graph是Supported legacy API，所以推荐使用第二种方式。赋予角色后，等待一段时间生效，即可正常工作。