Azure AD 用户管理委派答案

【问题标题】：Azure AD User management delegationAzure AD 用户管理委派
【发布时间】：2015-05-10 03:18:20
【问题描述】：

我正在使用 Azure AD 为位于 Azure AD 之外（内部托管）的应用程序创建用户、组

我希望能够将用户管理委派给该应用程序的管理员（创建用户、分配组等）

我可以看到，在高级 Azure AD 订阅中，您可以创建有权访问 WAAD 访问面板 (myapps.microsoft.com) 的 AD 用户，他们可以查看组，您可以将用户分配到组并查看/操作批准请求

但是看起来没有任何方法可以通过此界面创建用户，这很奇怪。如果用户具有“用户管理”角色，似乎应该在那里。

有没有其他方法可以向应用程序管理员提供基本级别的用户管理委托？

我能看到的唯一其他方法是用户管理员创建一个全新的 Azure 订阅（但属于同一租户）并通过管理门户 - 这并不理想，因为他们可以访问其他 Azure 资源（创建实例，数据库等）。我只需要管理员就可以访问 AD 的用户管理

我知道我可以创建另一个应用程序并使用 Graph API，但如果 Azure AD 已经有类似的东西，这可能是在重新发明轮子。

【问题讨论】：

不，没有这样的功能。超越 Azure 管理门户中的用户/组管理和 Office365 管理门户中的用户/组管理。 Azure Graph API 是适合您的方案的方式。

【解决方案1】：

您可以使用Azure AD Graph API 以当前设置实现您的目标。

使用Azure AD Graph API Client library 作为基础并在您的应用程序中创建一个本地区域，您的应用程序的指定管理员用户可以在其中通过 Graph API 管理 Azure AD 中的用户和组。

【讨论】：

虽然我不同意你的观点，但我希望有某种内置的 Azure 东西来解决这个问题 - 如果我沿着 Graph API 路径走下去，这将意味着我试图避免的相当多的开发.如果 Azure 已经具备这种功能，将会节省大量时间和精力
那就选择高级版而不是要求免费午餐！
我注册了高级版，但它仍然不是我所追求的 - 我已经改写了问题，因为我第一次不太清楚
Marty - 试图了解您在这里需要什么。您可以将用户管理功能委派给另一个角色吗？如果是这样，则 Azure AD（用户管理员）中已经存在一个这样的内置角色 - 请参阅 msdn.microsoft.com/en-us/library/azure/dn468213.aspx。
问题是这个角色在 WAAD 访问面板中甚至没有用户添加界面 - 他们需要登录到管理界面，其中包含 AD 之外的其他东西，这并不理想 - 如果你知道的话添加用户的另一个界面请告诉我:)