Azure 用户分配标识无法读取 AzureAD
Azure User Assigned Identity fails to read AzureAD
我正在尝试在函数应用程序内的 Powershell 脚本中获取 Azure AD 组信息。我正在使用以下命令。
Get-AzADGroup -DisplayName avktestx4054ce26FCA
但是,如果抛出错误“权限不足,无法完成操作”。执行此命令所需的最低权限是什么。目前它具有 Microsoft Graph“读取所有组”权限。
请帮忙。
这个命令本质上调用的是Azure AD Graph
而不是Microsoft Graph
,所以Microsoft Graph的权限不会生效,这里需要的是应用权限(不是授权)Directory.Read.All
Azure AD Graph
。从你的描述来看,我想你已经知道了给User Assigned Identity授予API权限的方法,这里不再赘述。
另一种方式是给Azure AD admin role to the User Assigned Identity, e.g. Directory Readers
,这个role的权限小于上面的Directory.Read.All
,AAD Graph是Supported legacy API,所以推荐第二种方式。赋予作用后,稍等片刻生效,即可正常使用
我正在尝试在函数应用程序内的 Powershell 脚本中获取 Azure AD 组信息。我正在使用以下命令。
Get-AzADGroup -DisplayName avktestx4054ce26FCA
但是,如果抛出错误“权限不足,无法完成操作”。执行此命令所需的最低权限是什么。目前它具有 Microsoft Graph“读取所有组”权限。
请帮忙。
这个命令本质上调用的是Azure AD Graph
而不是Microsoft Graph
,所以Microsoft Graph的权限不会生效,这里需要的是应用权限(不是授权)Directory.Read.All
Azure AD Graph
。从你的描述来看,我想你已经知道了给User Assigned Identity授予API权限的方法,这里不再赘述。
另一种方式是给Azure AD admin role to the User Assigned Identity, e.g. Directory Readers
,这个role的权限小于上面的Directory.Read.All
,AAD Graph是Supported legacy API,所以推荐第二种方式。赋予作用后,稍等片刻生效,即可正常使用