[我已经在Azure中获得了具有所需权限的应用程序注册-Directory.AccessAsUser.All(已委派),并且该注册具有我所有订阅中的Security Reader。
当我使用访问令牌(承载身份验证)GET https://graph.microsoft.com/beta/privilegedRoles/{id}/assignments
时,收到以下响应:
{
error: {
code: 'UnknownError',
message: '',
innerError: {
'request-id': 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx',
date: '2020-03-13T11:53:41'
}
}
}
在这种情况下,{id}是我要检查其分配的权限的ID。
这是beta
版本的API,AAD角色的当前端点已出于迁移目的而被租户禁用,请参阅此link。
当客户将更新版本推出给他们的Azure AD组织时,现有的图形API将停止工作。您必须转换才能使用Graph API for Azure resource roles。要使用该API管理Azure AD角色,请将签名中的
/azureResources
与/aadroles
交换,并将目录ID用作resourceId。
因此您当前需要使用this API,将/azureResources
替换为/aadroles
,在Graph Explorer中进行测试。
GET https://graph.microsoft.com/beta/privilegedAccess/aadRoles/resources/<tenant-id>/roleAssignments?$filter=RoleDefinitionId+eq+'RoleDefinitionId'