Azure active directory 覆盖Office 365组命名策略_Azure Active Directory_Office365_Azure Ad Graph Api

Azure active directory 覆盖Office 365组命名策略

azure-active-directory office365

Azure active directory 覆盖Office 365组命名策略,azure-active-directory,office365,azure-ad-graph-api,Azure Active Directory,Office365,Azure Ad Graph Api,正如microsoft on的这篇文章所述，选定的管理员可以获得豁免，并且可以覆盖任何给定的命名策略。在我的例子中，我注册了一个应用程序，用于运行azure函数，通过graph api创建统一组。我想在使用该应用程序时覆盖命名策略，但找不到实现该策略的方法。有什么想法吗？您注册的应用程序将在Azure AD中有一个服务主体。您的应用程序将以服务主体的身份执行操作您可以将豁免角色分配给应用程序的服务主体对象，然后您的应用程序也应该被豁免您可以使用以下命令找到角色ID：获取AzureAD

正如microsoft on的这篇文章所述，选定的管理员可以获得豁免，并且可以覆盖任何给定的命名策略。在我的例子中，我注册了一个应用程序，用于运行azure函数，通过graph api创建统一组。我想在使用该应用程序时覆盖命名策略，但找不到实现该策略的方法。

有什么想法吗？

您注册的应用程序将在Azure AD中有一个服务主体。您的应用程序将以服务主体的身份执行操作

您可以将豁免角色分配给应用程序的服务主体对象，然后您的应用程序也应该被豁免

您可以使用以下命令找到角色ID：获取AzureADDirectoryRole | Where对象{$\.displayName-eq'Helpdesk Administrator'}

您可以通过直接在企业应用程序下搜索或使用以下命令通过PS查找服务主体的对象ID：获取AzureADServicePrincipal-searchstring（您的企业应用程序名称）

最后，您可以使用以下命令将角色分配给应用程序：添加AzureAddirectoryLember-ObjectId$AADRole.ObjectId-ReObjectId$service princiapl.ObjectId

希望这有帮助。

这是关于如何将目录角色设置为服务主体的非常好的信息。然而，问题仍然存在。我给我的应用程序分配了“目录编写器”角色，这应该足以覆盖命名策略。但是，当使用此应用程序和graph API创建组时，我仍然收到一个错误，即名称不符合组命名策略的要求。还有什么需要做的吗？然而，公司管理员似乎在做这个把戏。。。但这确实是很高的权限。microsoft发布的文档指出，目录编写器应足以覆盖该策略。你认为呢？你能检查一个使用目录编写器的用户是否能够绕过组命名策略吗？