查询特定的 Azure AD 权限
Query for specific Azure AD permission
Microsoft Graph 有没有办法检查登录用户(使用设备代码授权)是否具有特定的 AAD 权限?在我的例子中是 Microsoft。Directory/groups/members/update - 我想通知用户 he/she 不允许将服务主体添加到 AD 组。
我最初的想法是找到用户所属的 DirectoryRoles。然后查看相关的 DirectoryRoleTemplates 并以某种方式检查附加到模板的权限。看来这是不可能的。
目前微软还没有公开API获取DirectoryRole对应的Role权限
基于official document,microsoft.directory/groups/members/update权限仅存在于以下角色中:
目录作者
群组管理员
用户帐户管理员
Intune 服务管理员
合作伙伴一级支持
合作伙伴 Tier2 支持
解决方法是在您的项目中自定义配置文件以设置固定值。阅读它们以查看用户的目录角色是否与其中之一匹配。
我是 Microsoft 的一名项目经理,负责 Azure AD 访问控制。感谢您的提问和反馈。正如 Allen 所说,我们今天没有 API。我们拥有的最好的是用户访问令牌中所谓的 'wids' 声明。在 this 篇文章中搜索 'wids' 以获取更多信息。
wids 声明包含用户所属的目录角色模板对象 ID 列表。角色模板对象 ID 是 immutable 并且在整个系统中是一致的,因此您可以对它们进行硬编码检查。模板id映射有作用tablehere。
我们正在考虑按照 Allen 在文档中提到的语法公开 API 已登录用户的基本权限列表 returns。但是,我还没有确定何时可用。
如果您有任何问题,请告诉我。
再次感谢,
文斯·史密斯
Microsoft Graph 有没有办法检查登录用户(使用设备代码授权)是否具有特定的 AAD 权限?在我的例子中是 Microsoft。Directory/groups/members/update - 我想通知用户 he/she 不允许将服务主体添加到 AD 组。
我最初的想法是找到用户所属的 DirectoryRoles。然后查看相关的 DirectoryRoleTemplates 并以某种方式检查附加到模板的权限。看来这是不可能的。
目前微软还没有公开API获取DirectoryRole对应的Role权限
基于official document,microsoft.directory/groups/members/update权限仅存在于以下角色中:
目录作者
群组管理员
用户帐户管理员
Intune 服务管理员
合作伙伴一级支持
合作伙伴 Tier2 支持
解决方法是在您的项目中自定义配置文件以设置固定值。阅读它们以查看用户的目录角色是否与其中之一匹配。
我是 Microsoft 的一名项目经理,负责 Azure AD 访问控制。感谢您的提问和反馈。正如 Allen 所说,我们今天没有 API。我们拥有的最好的是用户访问令牌中所谓的 'wids' 声明。在 this 篇文章中搜索 'wids' 以获取更多信息。
wids 声明包含用户所属的目录角色模板对象 ID 列表。角色模板对象 ID 是 immutable 并且在整个系统中是一致的,因此您可以对它们进行硬编码检查。模板id映射有作用tablehere。
我们正在考虑按照 Allen 在文档中提到的语法公开 API 已登录用户的基本权限列表 returns。但是,我还没有确定何时可用。
如果您有任何问题,请告诉我。
再次感谢, 文斯·史密斯