如何限制/限制Azure应用程序注册API权限 [英] How to restrict/limit Azure App Registration API permissions
本文介绍了如何限制/限制Azure应用程序注册API权限的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我们有一个Azure AD应用注册,它使用应用程序而不是委派权限调用Microsoft Graph API。
我们添加的MS Graph API权限示例如下:
- User.Read.All
- GroupMember.ReadWrite.All
我们的目标是仅允许此应用程序管理特定"管理单位"内的那些用户和组,但是我们无法查看如何限制或限定上述权限的范围。
您是否知道这是否可能,如果可能,如何实现?
推荐答案
我们最终做的是:
- 从应用注册中删除GroupMember.ReadWrite.All权限
- 根据下面的屏幕截图,从管理单位内自定义用户管理员角色。
- 这会将应用的服务主体链接到用户管理员角色,但作用域为管理单元。
- 重新启动应用程序以确保其获取新令牌
- 到目前为止,我们的测试证实应用程序现在只能将用户添加到此管理单元内的组
- 将用户添加到其他管理单元或没有管理单元的组的任何尝试都将失败。
希望这能帮助某人(或将来的我!)
这篇关于如何限制/限制Azure应用程序注册API权限的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
