在 Azure AD 应用注册中,我们有“所有者”选项卡。它显示“除了有权管理任何应用程序的用户外,此处列出的用户可以查看和编辑此应用程序注册。”。我们的文档显示,“更改应用程序属性,例如应用程序请求的名称和权限”
应用所有者能否更改“API 权限”/“授予同意”/“添加权限”等?如果是,他们是如何做到的(以编程方式、API、PowerShell 模块?)
应用所有权图片 - https://i.imgur.com/JOr4J7u.jpg
【问题讨论】:
应用所有者将能够更改/添加 API 权限,但他将无法授予同意 ADMIN CONSENT REQUIRED 的权限,以要求最终用户在每次验证时同意应用程序,附加 @ 987654324@ 到认证请求的 URL,更多细节请看这个doc。
要更改/添加 API 权限到 AD 应用程序,您可以使用 powershell,参考此post。
$req = New-Object -TypeName "Microsoft.Open.AzureAD.Model.RequiredResourceAccess"
$acc1 = New-Object -TypeName "Microsoft.Open.AzureAD.Model.ResourceAccess" -ArgumentList "e1fe6dd8-ba31-4d61-89e7-88639da4683d","Scope"
$acc2 = New-Object -TypeName "Microsoft.Open.AzureAD.Model.ResourceAccess" -ArgumentList "798ee544-9d2d-430c-a058-570e29e34338","Role"
$req.ResourceAccess = $acc1,$acc2
$req.ResourceAppId = "00000003-0000-0000-c000-000000000000"
Set-AzureADApplication -ObjectId 1048db5f-f5ff-419b-8103-1ce26f15db31 -RequiredResourceAccess $req
【讨论】: