限制对 Azure Active Directory 的成员权限

Question

我们开发了一个 web 应用程序并将其身份验证配置为使用我们的 Azure Active Directory 租户。这工作正常。我们有其他组织的客户，当来自这些客户之一的用户进行身份验证时，他们会看到特定于其组织的内容。这也很好用。

幕后：为了实现这一点，在我们的租户中，我们创建了组（每个客户一个），我们邀请了这些客户的用户并将他们分配到适当的组（添加后我们必须手动更改他们的用户类型从 'Guest' 到 'Member'）

问题： 如果我们的一位客户登录到 Azure AD，他们就可以看到所有其他组和所有其他用户。他们还可以添加和删除组，并且几乎可以执行我们的全局管理员帐户可以执行的所有操作！这告诉我我们做了非常非常错误的事情。我们是 Azure AD 的新手，似乎有很多我们不了解的地方。

我已经尝试过了。

了解行政单位（似乎不是）

角色和管理员：此页面有一长串角色，旁边有复选框，似乎什么都不做。

主页 > 租户 > 用户 > 用户名 > 分配的角色 > 添加分配：我可以从相同的角色列表中进行选择，但它们都是不同类型的管理员。这似乎是授予更多权限，而不是取消权限。

主页 > 租户 > 组 > 组名 > 角色和管理员：此页面简单地说“未找到角色”

基本上我需要我们的成员不能在 azure AD 上做任何事情，除了返回他们所在的组的列表以及他们自己的详细信息（姓名、电子邮件、个人资料图片等）

Answer 1

假设您要在特定组中添加客户端用户，该组本身已经拥有一些 admin privileged/Global Administrator/Directory writer 权限。 在这种情况下，只有用户可以对组和其他用户的数据进行操作。

建议您检查 Group->Role and administrator 和 User->Role and Administrator 应该只有 Directory Read 权限。

User->Assigned Role->Active Assignment 中的我只有 Directory Read 角色权限，所以我只能看到我的详细信息和 Active Directory 中存在的组列表，但不能对任何组/用户执行任何操作，例如 write/delete/update expect read。

注意：要在组级别分配角色 需要Azure AD Premium P1 license。

更新

为组分配角色请按此方式进行---

AAD->角色和管理员->选择角色->添加分配->选择成员（组）