Azure AD图与MS图Application.ReadWrite.All

Question

我已经为我的DevOps管道设置了一个服务主体，我使用它来创建服务主体/应用程序，供我通过Azure CLI部署的服务使用，如下所示：

az ad sp create-for-rbac --name TestAccount1 --skip-assignment

如果我将以下权限分配给我的DevOps服务主体，它将完美地工作：

​

​

但是，这显然会触发弃用警报，但如果我将权限更改为：

​

​

我得到了以下信息：

Directory permission is needed for the current user to register the application. For how to configure, please refer 'https://docs.microsoft.com/azure/azure-resource-manager/resource-group-create-service-principal-portal'. Original error: Insufficient privileges to complete the operation.

当涉及到Azure AD Graph和Microsoft Graph时，我是不是错过了一个微妙之处，它们不是只是将新旧API添加到同一个Azure AD租户中吗？

Answer 1

显然，这个命令az ad sp create-for-rbac正在后台调用Azure AD Graph API。

AAD Graph和Microsoft Graph的端点不同。

AAD图形端点：https://graph.windows.net/

微软图形端点：https://graph.microsoft.com/

当您在Azure门户上分配Application.ReadWrite.All权限时，您会发现此权限实际上位于其对应的端点下。

​

​

​

​

因此，如果你在微软图形下添加Application.ReadWrite.All权限，它将不允许你调用Azure AD图形。