【发布时间】:2023-01-20 15:19:42
【问题描述】:
我分配了用户管理员角色,只是注意到无法删除外部用户。 用户管理员有权:microsoft.directory/users/delete,我想这还不够。 全局管理员有权:microsoft.directory/users/allProperties/allTasks
创建和删除用户,读取和更新所有属性。
你知道是否有任何其他角色授予删除外部用户的权限?或者我在这里错过了什么?
【问题讨论】:
【发布时间】:2023-01-20 15:19:42
【问题描述】:
I have User Admin role assigned and just noticed that am not able to delete external users.
你可以在这里查看user admin roles。根据下图所示的文档,此用户管理员角色删除或恢复用户不适用。
根据您的要求,全局管理员具有此删除用户访问权限。在这里可以通过Global Administrator权限。
there is any other role that grants the right to delete external users?
-
据我所知全局管理员角色是唯一的内置角色在 Azure AD 中授予能力 **删除外部用户但是如果您不想分配全局管理员角色但仍然希望能够删除外部用户,您可以创建自定义角色并为其分配“microsoft.directory/users/delete”权限。
-
在 Azure 中,您可以通过不同的方式创建自定义角色,例如 ~使用 Azure 门户。 ~使用 PowerShell ~使用 CLI
-
使用门户创建自定义角色检查您的自定义角色是否已启用或禁用,如下图所示选择您的订阅或资源组 >> 访问控制 >> + 添加 >> 添加自定义角色。
- 如果您可以使用自定义角色,则创建自定义角色有点复杂,请按照create custom role MS Document中的这些详细步骤使用 Azure 门户。
- 使用PowerShell 创建自定义角色
【讨论】: