Azure Active Directory ServicePrincipal SecurityGroup AppRoleAssignment не удается разрешить appRole

Question

В Azure AD B2B я создал регистрацию приложения (ресурс) с appRole для «Пользователь» и «Приложение».

---

Если я назначу servicePrincipal (клиент) для этого appRole-> accessToken содержит appRole.

servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)

, это работает, как и ожидалось

---

Если я назначаю serviceprincipal (клиент) безопасности верхнего уровнясгруппировать и назначить группу безопасности для appRole -> accessToken НЕ содержит appRole.

servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)

это косвенное обращение работает для пользователей, я что-то упускаю, почему это не будет работать дляservicePrincipals

Answer 1

Все ваши шаги верны. Если вы хотите назначить роль приложения для принципа службы, вам следует назначить один за другим, это не сработает, если вы добавите принцип службы в группу, которой назначена роль приложения. Как сказал @juunas, возможно, это что-то вроде ошибки.

Answer 2

Не думаю, что вы что-то пропустили. Это действительно работает для пользователей.

Это либо ошибка, либо функция :) Может быть, права доступа к приложениям не требуется назначать через группы. (что такое appRoles типа Application)