Получение разрешения на применение сервиса принципала с помощью модуля AzureAD

Question

Использования модуля AzureAD, я могу получить все делегированных разрешения для обслуживания основного долга с помощью Get-AzureADServicePrincipalOAuth2PermissionGrant командлета. Однако я не могу найти аналогичный командлет для получения прав приложения для принципала обслуживания в этом модуле.

ли AzureAD модуль обеспечивает способ для получения разрешения приложения для принципала службы?

Answer 1

Назначения разрешения на использование представлены в виде appRoleAssignments в каталоге. Буквально назначение роли директору сервиса приложения.

С помощью модуля V2:

Есть два способа подхода получения роли.

Какие разрешения были назначены главному A?

Get-AzureADServiceAppRoleAssignedTo -ObjectId eea0d6cd-20e2-4b81-97ca-5b0cbffac985 | fl 

Здесь я получаю то, что разрешения приложения были назначены на эту принципала.

У кого есть разрешения на основной A?

Get-AzureADServiceAppRoleAssignment -ObjectId f004dde9-b40f-4259-91be-e257009a444a | fl 

Здесь идентификатор объекта предназначен для Microsoft Graph. В нем перечислены все участники, которым были назначены права на приложение.

В любом случае вы все равно получите список AppRoleAssignments.

• Id = Id из AppRole, который был назначен
• PrincipalId = ObjectId сервисного принципала разрешение было назначено на
• ResourceId = ObjectId принципала службы предоставления разрешения

You вам необходимо будет присоединиться к заданиям с нужными ролями. Вы можете распечатать роли приложения, например. MS Graph предлагает довольно легко:

$msGraph = Get-AzureADServicePrincipal -ObjectId f004dde9-b40f-4259-91be-e257009a444a 
$msGraph.AppRoles | fl 

Пример:

AllowedMemberTypes : {Application} 
Description  : (Preview) Allows the app to read all files in all site collections without a signed in user. 
DisplayName  : Read files in all site collections (preview) 
Id     : 01d4889c-1287-42c6-ac1f-5d1e02578ef6 
IsEnabled   : True 
Value    : Files.Read.All