作为 POC,我创建了一个访客用户,例如:'OwnerABC@website.com',并将该用户设置为组所有者。根据文档和我的组设置,我应该能够以组所有者身份添加成员/修改更改,但我无法这样做。当我在 Azure 门户 UI 中以“OwnerABC@website.com”身份登录时,我更改为正确的租户,但看不到任何组或用户。
我还尝试访问 myapps.microsoft.com 并尝试添加用户。对于我想要添加到我拥有的组的任何用户,搜索返回空。然后它给了我一个意外的错误页面。 在此处输入图像描述
组所有者还需要哪些其他权限,或者组所有者(不是全局管理员)需要去其他地方对组进行更改?
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-manage-groups
Azure Active Directory 中“外部用户”的“用户设置”很可能设置为“来宾用户权限受限”设置的“是”。当此设置默认设置为“是”时,来宾用户无法执行某些任务,例如枚举用户、组和其他目录资源。
请参阅下面的屏幕截图以检查此设置和说明。
转到 Azure 门户 > Azure Active Directory > 用户设置 > 管理外部协作设置(在外部用户下)
单击“管理外部协作设置”时,您应该会看到
所以现在你有两种可能的方法来实现你想要做的事情:
将此设置更改为“否”。更改设置后,尝试再次以外部用户 OwnerABC@website.com 身份登录 Azure 门户,您应该能够看到其他用户。(只需在更改设置后几分钟即可反映。至少在我的情况下花了一点时间)
如您所见,上述设置是通用的,适用于您目录中的所有来宾用户。如果您只想为这个访客用户做一些特别的事情,那么不要更改设置并让它保持在“是”,而是为用户 OwnerABC@website.com 分配一个适当的“目录角色”。这样,只有这个来宾用户才能看到其他用户,而不是所有其他用户。
可以通过导航到 Azure AD > 用户 > 特定用户 (OwnerABC@website.com) > 目录角色 > 添加角色来分配“目录角色”
