azure-active-directory - Azure Active Directory:如果分配给管理单元,“用户管理员”不能删除用户
问题描述
我在 Azure Active Directory 中创建了一些受限管理员。这些应该只能管理某些用户。为此,我将应管理的用户添加到管理单元,并为管理员赋予了管理单元的“用户管理员”角色。他们现在可以按预期编辑/管理用户的所有方面。但是,他们不能删除用户。
这应该是可能的。以下是 Microsoft 对用户管理员角色的描述:
“具有此角色的用户可以创建和管理用户和组的所有方面。此外,此角色包括管理支持票证和监控服务运行状况的能力。一些限制适用。例如,此角色不允许删除全局管理员。用户帐户管理员只能更改用户、帮助台管理员和其他用户帐户管理员的密码”。
管理单元中的用户当然不是管理员。
如果我为整个 AAD 租户分配管理员“用户管理员”角色,那么他们可以删除用户。
此处微软还明确描述了使用此角色您应该有权删除用户:https ://docs.microsoft.com/de-de/azure/active-directory/roles/permissions-reference#user-administrator
如果您将其分配给管理单位,有谁明白为什么这个角色不再正常工作?
提前致谢
解决方案
管理单元中的用户管理员可以管理用户和组的方方面面,当然也包括从管理单元中删除用户。
但是,它不能删除租户范围内的用户,因为用户是在租户范围内创建的,但授予用户的管理员范围仅限于一个或多个管理单元。
另外,您只是在管理单元中添加了用户,而不是在管理单元中创建用户,因此您绝对不能在租户范围内删除用户。因此,如果要删除租户范围内的用户,只能授予用户租户范围内的用户管理员角色。
推荐阅读
- scala - 无法在 Spark Yarn 集群模式下使用 Scala 发送电子邮件通知
- python - Python selenium 从打开的模型中获取元素值给出未打开的模型值
- gremlin - 有没有办法重用聚合步骤?
- python - Pytesseract 将重复的问号识别为不同的字符
- c# - 未终止的字符串。将 byte[] 转换为 Json 的预期分隔符
- javascript - 如何将 vue 库构建为依赖于其他组件的 umd 模块?
- git - 如何将 tfvc 迁移到 Git,包括历史
- google-sheets - 使用 api 在谷歌电子表格中特定列的末尾添加一个新单元格(行)
- html - 如何让页脚位于页面或窗口的底部?
- delphi - 条纹集成