Azure服务主体-向广告组添加成员的权限

我已经为Azure DevOps创建了一个服务主体，并试图通过DevOps管道向AzureAD组添加一个新成员。到目前为止，该组仅包含用户。以下是我们已经做过的工作：

• 我已经在Azure DevOps中建立了ARM服务链接连接
• 我向服务负责人授予了

  group.readwrite.all

  在

  Active Directory/App registration/SP\u name/Microsoft Graph中的API权限

• 我已在Azure DevOps中的Azure CLI Shell中运行该脚本：

  az ad组成员添加--组XXX YYY groupname--成员id 111111-111-111-11111

DevOps管道失败，并显示消息：

错误：权限不足，无法完成操作。

授权DevOps服务负责人向我的组中添加成员时，我缺少了什么

---

我相信您需要的权限是

GroupMember.ReadWrite.All

。由此：

允许应用程序列出组、读取基本属性、读取和更新 登录用户有权访问的组的成员身份。团体 无法更新属性和所有者，也无法删除组

---

我相信您需要的权限是

GroupMember.ReadWrite.All

。由此：

允许应用程序列出组、读取基本属性、读取和更新 登录用户有权访问的组的成员身份。团体 无法更新属性和所有者，也无法删除组

---

确保您具有

组管理员

角色

---

确保您具有

组管理员

角色

---

---

在azure广告中，您需要“授予管理员权限”，其应在that@RahulShukla...granting管理员权限将解决所有问题：P.在azure广告中，您需要“授予管理员权限”，它应该在以后工作that@RahulShukla...granting管理员权限将解决所有问题：P.阅读

用户管理员

此处-。它没有提到任何关于向组中添加用户的内容。授予

全局管理员

权限是一种过分的做法，因为它会授予所有权限。@GauravMantri您的建议是合理的，我会修改答案，谢谢。我想这不是公司会接受的，也是一种不好的做法。“这就是为什么我想到了更细粒度的东西。”皮尔维-同意。你能试试我的答案中提到的

GroupMember.ReadWrite.All

吗？@pirvui更新了答案。顺便说一句，如果您使用

Azure CLI

命令行，那么授予用户管理员角色是必不可少的。它没有提到任何关于向组中添加用户的内容。授予

全局管理员

权限是一种过分的做法，因为它会授予所有权限。@GauravMantri您的建议是合理的，我会修改答案，谢谢。我想这不是公司会接受的，也是一种不好的做法。“这就是为什么我想到了更细粒度的东西。”皮尔维-同意。你能试试我的答案中提到的

GroupMember.ReadWrite.All

吗？@pirvui更新了答案。顺便说一句，如果您使用

Azure CLI

命令行，那么授予用户管理员角色是必不可少的。以后是否也应该从CLI向组中添加成员？完成。谢谢大家!@Pirvuz-So

GroupMember.ReadWrite.All

权限对您很有效？是的，它很有效，也是Azure DevOps管道中的一项任务。添加AzureADGroupMember-ObjectId xxxx-ReObjectIdyyyy@PirvuGeorgian您正在使用应用程序登录吗？我一直认为你使用的是用户登录。很抱歉，如果您使用应用程序登录，您只需要

GroupMember.ReadWrite.All

权限。以后还应该从CLI将成员添加到组中吗？完成。谢谢大家!@Pirvuz-So

GroupMember.ReadWrite.All

权限对您很有效？是的，它很有效，也是Azure DevOps管道中的一项任务。添加AzureADGroupMember-ObjectId xxxx-ReObjectIdyyyy@PirvuGeorgian您正在使用应用程序登录吗？我一直认为你使用的是用户登录。抱歉，如果您使用应用程序登录，您只需要

GroupMember.ReadWrite.All

权限。