Azure AD Graph 与 MS Graph Application.ReadWrite.All答案

【问题标题】：Azure AD Graph vs. MS Graph Application.ReadWrite.AllAzure AD Graph 与 MS Graph Application.ReadWrite.All
【发布时间】：2021-01-20 11:57:18
【问题描述】：

我为我的 DevOps 管道设置了一个服务主体，我用它来创建服务主体/应用程序，供我通过 Azure CLI 部署的服务使用，如下所示：

az ad sp create-for-rbac --name TestAccount1 --skip-assignment

如果我将以下权限分配给我的 DevOps 服务主体，它将完美运行：

但这显然会触发弃用警报，但如果我将权限更改为：

我得到以下信息：

Directory permission is needed for the current user to register the application. For how to configure, please refer 'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'. Original error: Insufficient privileges to complete the operation.

当谈到 Azure AD Graph 与 Microsoft Graph 时，我是否遗漏了一个微妙之处，它们不只是将新旧 API 放入同一个 Azure AD 租户吗？

【问题讨论】：

标签： azure-devops azure-active-directory microsoft-graph-api azure-rbac azureadgraph-deprecation

【解决方案1】：

显然这个 cmd az ad sp create-for-rbac 正在后台调用 Azure AD Graph API。

AAD Graph 和 Microsoft Graph 的端点不同。

AAD 图表端点：https://graph.windows.net/

Microsoft Graph 端点：https://graph.microsoft.com/

而当你在Azure门户上分配Application.ReadWrite.All权限时，你会发现这个权限其实是在其对应的端点下。

所以如果你在 Microsoft Graph 下添加Application.ReadWrite.All 权限，它将不允许你调用 Azure AD Graph。

【讨论】：

这些不只是指向同一个 AD 实例的端点吗，我不是说我希望服务主体 X 拥有权限 Y，我可以使用新的或旧的 API 来分配所述权限.老实说，AZ CLI 命令引用了已弃用的 API 对我来说绝对不是显而易见的。提出一个问题，“az ad”将在什么时候迁移到使用新 API，并且除非有人也为新 API 分配相同的权限，否则事情会开始失败。
@Simon 抱歉，我没有说清楚。我认为这很明显，因为只有 AAD 图形权限生效。 Azure cli 在后端使用 AAD Graph。尽管现在已弃用 AAD Graph，但 Microsoft 仍会继续提供技术支持和安全更新。我不确定Azure cli以后会不会使用MS graph，但是微软会保证你在使用过程中不会受到影响。请参阅此处的重要提示：docs.microsoft.com/en-us/graph/…。我认为迁移应该在 2022 年 6 月 30 日之前完成。
@Simon 还有什么不清楚的吗？如果我的回答有帮助，您可以将其标记为已接受。谢谢。
抱歉没有机会回复这个，感谢您的提示。我同意这很明显，因为它有效，但如果 MS 更明确的话会很好！我是否正确，因为权限实际上是“使用特定 API 在 AD 中执行 X”的权限，而不仅仅是“在 AD 中执行 X”的权限，并且权限与 API 以及权限所针对的资源相关联?
@Simon 是的。你说的对。使用不同的 API 对同一个 AD 进行操作。