从Azure AD中删除用户的编程方法

Question

在我的应用程序中，我希望能够以编程方式在Azure Active中创建和删除用户帐户。这个项目需要无人值守。

我能够创建 Azure AD用户，但是当删除是一个用户帐户时，经常会出现故障。具体来说，我收到了以下错误消息：

Microsoft.Graph.ServiceException: 
    Code: Authorization_RequestDenied 
    Message: Insufficient privileges to complete the operation.

我认为这是出于设计原因，因为文档声明只支持委托权限。MS Graph的人能否确认不可能以无人值守的方式删除AD用户(例如，不提示管理员用户帐户和密码)？这个功能将来会被支持吗？

是否有不同的方法来解决这个问题？Azure AD图API对此有用吗(尽管现在不建议使用它)？

Answer 1

这是正确的，DELETE /users/{id}需要只适用于委托场景的Directory.AccessAsUser.All。

考虑到这将带来的安全风险，这种情况不太可能改变。创建用户的流氓应用程序肯定会非常恼人，但删除用户的流氓应用程序将是灾难性的。

我的建议是让您的应用程序维护一个“删除队列”。每当需要删除用户时，只需将该id添加到队列中即可。然后为管理员提供交互式体验，允许他们在查看列表后登录和删除排队的用户。