我具有用户访问管理员角色,因此我通常可以通过访问控制 (IAM) 将用户添加到资源组。但是,今天我遇到了一个问题,无法在会员部分选择用户。我收到以下错误:
授权请求被拒绝
权限不足,无法完成操作。 块引用
使用 graph.microsoft.com REST API 时出现此错误。
/users?$filter=startsWith(displayName,%27john%27)%20OR%20startswith(givenName,%27john%27)%20OR%20startswith(姓氏,%27john%27)%20OR%20startsWith(邮件,%27john% 27)%20OR%20startsWith(userPrincipalName,%27john%27)&$top=100
/groups?$filter=securityEnabled%20eq%20true%20AND%20(startsWith(displayName,%27john%27)%20OR%20startsWith(mail,%27john%27))&$top=100
/servicePrincipals?$filter=startsWith(displayName,%27john%27)&$top=100
用户访问管理员角色仅授予您在 Azure 资源管理 API 中进行操作的权限。 您可以通过 CLI 或直接使用唯一的用户对象 ID 直接通过 API 创建任何分配。
但是在门户中,它会查询 Graph API。 为此,您需要 Entra ID(以前称为 Azure AD)中的权限。 您需要成为成员或被分配一个授予用户枚举权限的目录角色。
在某些情况下,可以在门户中输入特定的用户名并使其起作用。 如果您的用户确实有权读取用户但不能枚举他们,那么这将起作用。