运行Remove-AzureRMAdGroup所需的权限

Question

我正在使用SPN删除Azure AD组( remove -AzureRMAdGroup)，但收到错误insufficient privileges。

我为SPN授予了以下权限：

Active Directory图(2) -应用程序读写所有应用程序-应用程序读写目录数据

Microsoft Graph (1) -应用程序读写组

这里明显缺少哪些权限？如果我们给SPN分配Azure AD角色UserAccountAdmin，它就会工作，但我们更愿意拥有最低特权的访问权限。

Answer 1

目前，读写目录数据权限不包括删除组等任何删除操作。您需要的是microsoft.directory/groups/delete权限。

​

​

但目前Azure Active Directory中不支持自定义角色。仅预定义的管理员角色。您必须向SPN授予Azure AD角色User administrator角色，其中包括组删除权限。

Here就是这些步骤。