Azure active directory 用于在Azure AD中创建组的图形API权限_Azure Active Directory_Microsoft Graph Api_Azure Ad Graph Api

Azure active directory 用于在Azure AD中创建组的图形API权限

azure-active-directory microsoft-graph-api

Azure active directory 用于在Azure AD中创建组的图形API权限,azure-active-directory,microsoft-graph-api,azure-ad-graph-api,Azure Active Directory,Microsoft Graph Api,Azure Ad Graph Api,Group.ReadWrite.All是服务主体允许在Azure AD中创建组所需的图形API权限。但是，它将允许SPN修改/删除目录中的任何组请您帮助了解我们如何限制范围，以便服务负责人只修改其最初创建的组。尝试将您的服务负责人设置为您创建的组的所有者，这样，您的服务负责人就可以在没有任何权限的情况下修改/删除您创建的组，但不能修改/删除其他组（请记住删除group.ReadWrite.Allpermissions）不幸的是，我认为这是不可能的，因为服务主体没有这样的权限，只能访问它创建的

Group.ReadWrite.All是服务主体允许在Azure AD中创建组所需的图形API权限。但是，它将允许SPN修改/删除目录中的任何组

请您帮助了解我们如何限制范围，以便服务负责人只修改其最初创建的组。

尝试将您的

服务负责人设置为您创建的组的所有者，这样，您的服务负责人就可以在没有任何权限的情况下修改/删除您创建的组，但不能修改/删除其他组（请记住删除group.ReadWrite.All
permissions）
不幸的是，我认为这是不可能的，因为服务主体没有这样的权限，只能访问它创建的组。如果这是一个绝对要求，那么我能想到的唯一方法是，您可以将编辑限制到它所拥有的组，即不使用客户端凭据流，而基本上要创建一个服务帐户（普通用户），请使用ROPC流（）为group.readwrite.all添加委派权限。然后，应用程序将使用该用户，该用户只能创建和编辑其拥有的组。
感谢您的回复。有一个选项“公开API”来添加作用域。我可以使用它通过应用程序清单公开新的作用域或角色以限制组权限吗？参考：成功了！我可以创建具有“group.read”和“directory.read”权限的组。此外，在创建组时，我可以将spn添加为所有者，为同一组授予修改权限。