У меня есть регистрация приложения в Azure с необходимым разрешением - Directory.AccessAsUser.All (делегировано), и эта регистрация имеет Security Reader для всех моих подписок.
Когда я GET https://graph.microsoft.com/beta/privilegedRoles/{id}/assignments с моим токеном доступа (аутентификация на предъявителя) я получаю следующий ответ:
GET https://graph.microsoft.com/beta/privilegedRoles/{id}/assignments
{ error: { code: 'UnknownError', message: '', innerError: { 'request-id': 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx', date: '2020-03-13T11:53:41' } } }
В этом случае {id} - это идентификатор разрешения, которое я хочу проверить.
Я использую это как ссылку: https://docs.microsoft.com/en-us/graph/api/privilegedrole-list-assignments?view=graph-rest-beta&tabs=http
Это API версии beta, текущие конечные точки ролей AAD отключены для вашего арендатора в целях миграции, см. Эту ссылку .
beta
Когда клиенты имеют обновленная версия была развернута в организации Azure AD, существующий API-интерфейс графиков перестал работать. Вы должны перейти к использованию Graph API для Azure ролей ресурсов . Для управления Azure ролями AD с помощью этого API, поменяйте /azureResources с /aadroles в подписи и используйте идентификатор каталога для resourceId.
/azureResources
/aadroles
Так что вам нужно использовать этот API в настоящее время поменяйте местами /azureResources с /aadroles, протестируйте его в Graph Explorer .
GET https://graph.microsoft.com/beta/privilegedAccess/aadRoles/resources/<tenant-id>/roleAssignments?$filter=RoleDefinitionId+eq+'RoleDefinitionId'