AADアプリケーションをセキュリティグループのメンバーとして追加する

1. 残念ながら、アプリケーションをAzure ADグループのメンバーとして追加することはできません。 PowershellコマンドレットAdd-AzureADGroupMemberの公式ドキュメントでは、アプリケーションのObjectIdをRefObjectIdとして使用できないことが明確にされていませんが、絶対に使用することはできません。 Azure ADグループのメンバーとしてアプリケーションを追加することもできません。

   たとえば、リーダー用にgroup1、ライター用にgroup2を作成します。次に、「グループ」の主張に基づいて、適切なアクセスレベルを特定します。

2. あなたのシナリオでは、今のところこれを達成することはできません。 これがなぜ必要なのか理解しています。あなたのリクエストによると、私の考えは からアプリケーションを割り当てることですグループまたはユーザー へのエンタープライズアプリケーションおよび異なるアクセス権を持つマネージャーユーザー。ただし、選択したグループにこれ以上の役割を選択することはできません。唯一の役割はデフォルトのアクセスですアプリにさらに役割を定義する場合は、 このドキュメント を参照してください。また、Azure AD RBACを使用して、テストアプリ用に新しい条件付きアクセスを作成しようとしましたが、すべてこの選択肢read onlyがありません。また、アイデアを Azureフィードバックフォーラム に入れると、Azureチームに表示されます。また、私はあなたの考えを賛成します。

更新：

現在、AADグループにサービスプリンシパルを追加できます。

例：

$spn = Get-AzureADServicePrincipal -SearchString "yourSpName"

$group = Get-AzureADGroup -SearchString "yourGroupName"

Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($spn.ObjectId)

更新された2：

最近、多くのユーザーがサービスプリンシパルにロールを割り当てて、サービスプリンシパルに、ロールを使用してアプリにアクセスするためのいくつかの権限を付与したいと考えています。

ここではっきりさせておきたい。役割ベースの許可は、アプリケーションではなくユーザーに使用する必要があります。そして、それはアプリケーションのために設計されていません。いくつかの異なるアクセス許可を与えたい場合は、代わりにアプリケーションのアクセス許可をサービスプリンシパルに割り当てることを検討してください。

アプリ登録のマニフェストを編集することで、Webアプリ/ APIをアプリケーション権限で公開できます。

Azureポータル> Azure Active Directory>アプリの登録>アプリを選択>マニフェストに移動します。

appRolesには、次のようなコンテンツを挿入できます。

  {
      "allowedMemberTypes": [
        "Application"
      ],
      "displayName": "Access to the settings data",
      "id": "c20e145e-5459-4a6c-a074-b942bbd4cfe1",
      "isEnabled": true,
      "description": "Administrators can access to the settings data in their tenant",
      "value": "Settingsdata.ReadWrite.All"
    },

次に、権限を付与したい別のアプリ登録に移動します>設定>権限が必要>追加>アクセスしたいアプリケーション名を検索>前に作成したアプリケーション権限を選択します。

したがって、spは、トークンクレームでそのアプリケーションのアクセス許可を持つトークンを取得できます。

また、リソースからの承認のために、Settingsdata.ReadWrite.Allクレームでそのトークンの制御ポリシーを提供するコードロジックを追加する必要があります。

アップデート3

現在、Azureポータルでサービスプリンシパルを1つのAADグループに直接追加できます。