Azure Active Directory 组 - 控制用户访问

Azure Active Directory Group - controlling user access

我需要将用户添加到具有特定权限的 Azure Active Directory 组。

例如,添加到 adgroup1 的特定用户获得对应用程序特定数据的编辑权限,而同一用户可以是 adgroup2 的一部分,对不同的应用程序数据集具有只读权限。

实现这个的最佳做法是什么?感谢反馈。

恐怕无法实现,在Azure AD中,普通用户(即User typemember)默认拥有查看[=30=的权限] 租户中的所有AD Apps,来源here.

这个不能限制,会员用户的默认权限可以限制列表here,即使你设置Restrict access to Azure AD administration portal,用户也可以从其他客户端获取信息,例如powershell.

edit权限需要将用户添加为Owner到AD App,不支持AAD group作为 Owner 添加到 AD 应用程序。