将用户/组和角色添加到Azure AD本机应用程序_Azure_Azure Active Directory

将用户/组和角色添加到Azure AD本机应用程序

azure azure-active-directory

将用户/组和角色添加到Azure AD本机应用程序,azure,azure-active-directory,Azure,Azure Active Directory,当我在Azure Active Directory（Azure AD）中注册类型为Web App/API的应用程序时，我可以添加用户和组，并为租户的企业应用程序中的应用程序分配预定义的应用程序角色。但是，没有为类型为Native的应用程序添加用户和组的规定是否可以向本机应用程序添加用户和组，并通过PowerShell或Azure CLI将其设置为特定于应用程序的角色？，因为您注意到，对于本机应用程序，用户和组隐藏在企业应用程序刀片中，我认为原因是您通常不在本机应用程序中配置角色分配，而是在We

当我在Azure Active Directory（Azure AD）中注册类型为

Web App/API

的应用程序时，我可以添加用户和组，并为租户的企业应用程序中的应用程序分配预定义的应用程序角色。但是，没有为类型为

Native

的应用程序添加用户和组的规定

是否可以向本机应用程序添加用户和组，并通过PowerShell或Azure CLI将其设置为特定于应用程序的角色？

，因为您注意到，对于本机应用程序，用户和组隐藏在企业应用程序刀片中，我认为原因是您通常不在本机应用程序中配置角色分配，而是在WebApp/WebAPI中配置（本机应用程序正在使用）

无论如何，是的，您可以为本机应用程序配置应用程序角色。您可以这样做，但需要编辑清单并在其中添加批准（value属性将显示在角色声明中）。示例：

  "appRoles": [
    {
      "allowedMemberTypes": [
        "Application",
        "User"
      ],
      "displayName": "ReadOnly",
      "id": "9cc5ee76-3d7d-4060-8b7f-e734f3917e71",
      "isEnabled": true,
      "description": "ReadOnly roles have limited query access",
      "value": "ReadOnlyUser"
    }
  ]

然后，您可以使用Powershell将用户添加到该角色：

New-AzureADUserAppRoleAssignment -ObjectId <user's object ID> -PrincipalId <user's object ID> -ResourceId <native app service principal ID> -Id <role ID as it is in the manifest>

我正在尝试创建一个RESTAPI（Web API）这将在内部使用Microsoft Graph API来管理Azure AD租户中的用户。只有具有特定角色的用户才能访问该API。此API将由移动应用程序使用。我通过在Azure AD中将REST应用程序设置为本机应用程序实现了无头登录，因此移动用户只需使用用户名和pas即可登录剑。但是本机应用程序不允许在企业应用程序下设置用户/组/角色。但是如果我将REST应用程序设置为Web应用程序/API，则我无法进行无头登录。这就是问题所在。

  "roles": [
    "ReadOnlyUser"
  ]