1

我正在Az使用 Powershell 连接:

Connect-AzureAd

然后,我正在尝试执行命令:

Get-AzRoleAssignment -ResourceGroupName 'devtest' -ResourceName 'SA-name' -ResourceType 'Microsoft.Storage/storageAccounts'

一切都很好,我得到了结果。-Debug我看到的标志是Az执行 API 方法:

POST https://graph.microsoft.com/v1.0/directoryObjects/microsoft.graph.getByIds

然后,我转到Graph Explorer并尝试使用我登录的相同帐户从那里执行相同的方法,Az并且我从调用中收到授权错误:

在此处输入图像描述

当我检查时,我需要什么样的特权才能执行此操作,我可以看到我的帐户无法Directory.Read.All获得许可。

所以问题是,为什么允许我使用同一个帐户从Powershelltha执行更多操作?graph

4

1 回答 1

0

请允许我首先将其发布为答案,以获得更好的描述。

根据屏幕截图顶部的错误提示,您是否同意该选项卡中的所有权限?

顺便问一下,您在 powershell 中用于生成访问令牌的 azure ad 应用程序是否与图形资源管理器的应用程序相同?当我解码图形资源管理器生成的访问令牌时,我发现它是由名为Graph explorer (official site). 我认为这可能会导致您的问题。

在此处输入图像描述 在此处输入图像描述

于 2022-03-03T05:24:13.003 回答