我是否需要将 EntraID (AzureAD) 角色和图形 API 权限分配给自动化帐户托管身份？

最初，我创建了一个自动化帐户，并向托管身份服务主体授予了相同的权限，如下所示：

现在，我将 “身份验证管理员” 角色分配给上述服务主体，如下所示：

当我运行下面的 PowerShell 脚本以从自动化帐户重置用户密码时，我收到错误，如下所示：

# Connect to Microsoft Graph
Connect-MgGraph -Identity

Import-Module Microsoft.Graph.Users.Actions

$params = @{
    newPassword = "xxxxxxxx"
}

$userId = "userId"
$authenticationMethodId = "methodId"

Reset-MgUserAuthenticationMethodPassword -UserId $userId -AuthenticationMethodId $authenticationMethodId -BodyParameter $params

回复：

发生错误是因为此重置密码的 Graph API 操作不支持且具有“应用程序”类型的权限。您可以查看此MS Doc。

在这种情况下，必须为调用服务主体分配更高特权管理员角色，例如特权身份验证管理员或全局管理员。

如果错误仍然存在，请使用 Update user API 调用通过更新

passwordProfile

# Connect to Microsoft Graph
Connect-MgGraph -Identity

Import-Module Microsoft.Graph.Users

$params = @{
    passwordProfile = @{
        forceChangePasswordNextSignIn = $false
        password = "xxxxxxx"
    }
}

$userId = "userId"

Update-MgUser -UserId $userId -BodyParameter $params

要从组中删除成员，请使用以下 PowerShell 命令通过获取具有目录对象 ID 的成员：

Import-Module Microsoft.Graph.Groups

Remove-MgGroupMemberDirectoryObjectByRef -GroupId $groupId -DirectoryObjectId $directoryObjectId

要了解该特定操作需要哪些权限，您可以查看 MS Graph API 文档，因为 MS Graph PowerShell SDK 命令在后端调用 API。

参考资料：

Microsoft Entra 内置角色 - Microsoft Entra ID

删除成员 - Microsoft Graph v1.0