如何以编程方式向外部用户授予对Azure资源组的访问权限

Question

我对将用户添加到Azure资源组有疑问。 如果需要向Azure AD添加内部用户，则可以执行New-AzureADUser，然后执行New-AzureRmRoleAssignment来授予资源组权限。 如果是外部用户怎么办？ 在这种情况下，我们需要使用New-AzureADMSInvitation向外部用户发送邀请，并且我已经从azure门户验证了确实将用户添加到Azure AD。 但是，由于New-AzureRmRoleAssignment似乎不适用于非组织帐户，我如何向该用户授予RG的权限？

Answer 1

通过为您创建一个具有所需角色的AAD组，然后将外部用户添加到该组中，这对我有用。 您可以使用Add-AzureADGroupMember将用户添加到组中。 仅供参考，这也独立于接受邀请的用户。

Answer 2

该命令对我而言效果很好。

执行New-AzureADMSInvitation ，然后接受加入AAD的操作，导航到您邀请的电子邮件地址->“入门”。

然后，您可以在AAD用户中找到该用户。

测试命令 ：

New-AzureRmRoleAssignment -ObjectId "<ObjectId>" -RoleDefinitionName "Owner" -Scope "<ResourceGroupId>"