在Azure AD导航中遇到一些问题:
- 我需要一个用户是用户组的所有者,但不修改组设置。
- 他们需要能够添加和删除用户到这个组,只有这个组,或另一个组(也允许)。
- 该用户管理一组对订阅具有贡献者访问权限的用户。
如果您能帮我设置,我将不胜感激。
Azure Active Directory (Azure AD)组由组所有者拥有和管理。组所有者可以是用户或服务主体,并且能够管理群组,包括成员资格。只有已存在的组所有者或组管理管理员才能分配组所有者。组所有者不需要是组的成员。
尝试使用服务原则来实现您的需求:
创建服务主体sp-test-lab-cloud-deployment-prod= bb3XXXXX-51d1-4b69-9f0a-26cba3XXXXX,在根管理组"Stack根管理组"拥有所有者权限
创建自动工作流,为AD组和另一个服务主体分配自定义角色。
使用Azure CLi创建新的服务主体(sp)。使用您的Azure AD用户登录。然后执行以下命令:
az ad sp create-for-rbac --name {appId} --password "{strong password}"
输出:
{
"appId": "a487e0c1-82af-47d9-9a0b-af184eb87646d",
"displayName": "MyDemoWebApp",
"name": "http://MyDemoWebApp",
"password": {strong password},
"tenant": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
}
appId为登录用户,password为登录密码。
一旦SP被创建,你还需要给它Owner角色,然后你可以管理你的Azure资源和管理组,包括成员.
az role assignment create --assignee <objectID> --role Owner
参考:https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-accessmanagement-managing-group-owners
那么SP上的线程参考:什么是Azure服务主体?