Может ли обслуживающий субъект с доступом владельца к подписке обращаться к активному каталогу

Question

У меня есть участник службы Azure с правами доступа владельца, который может добавлять участников на уровне ресурса или группы ресурсов. Но когда я использую ту же учетную запись для доступа к Azure AD, происходит сбой и выдается ошибка 403. Возможно ли, что субъекту службы с доступом владельца к подписке не удается получить доступ к объявлению Azure в той же подписке?

Answer 1

Подписка осуществляется в рамках Azure Ad Tenant, роль владельца - это роль RBAC, которая управляет ресурсами в подписке, а не Azure Ad Tenant.

Подробнее о ролях см. Классические роли администратора подписки, роли Azure RBAC и роли администратора Azure AD .

Если вы хотите исправить ошибку, чтобы вызвать график Microsoft для списка пользователей / получить пользователя в клиенте, перейдите к приложению AD в App registrations в prortal -> API permissions -> Add a permission -> выберите Microsoft Graph -> Application permissions -> User.Read.All -> щелкните Add permissions -> щелкните Grant admin consent for xxx, тогда он будет работать.