对于azure企业应用程序，是否可以允许应用程序以编程方式管理应用程序角色？

从我读到的内容来看，AppRoleAssignment.ReadWrite.All应该允许应用程序使用Microsoft Graph SDK以编程方式进行应用程序角色管理。但是，如何授予权限，以便应用程序主体只能允许管理自己的角色，而不能管理其他企业应用程序？

目标是在Web应用程序中构建角色管理页面，以允许指定用户将用户添加/删除到同一应用程序的应用程序角色，而无需授予他们访问Azure门户的权限。

不幸的是，目前不可能。

尽管我们可以将用户添加为Azure门户上的应用程序主体的管理员，然后我们可以对Azure门户上的应用程序主体执行任何操作，但调用Microsoft Graph却有所不同。它必须依靠Azure AD应用程序的许可。

但是Microsoft Graph权限AppRoleAssignment.ReadWrite.All适用于所有应用程序主体。

如果单击“ F12”以打开Chrome的开发人员工具，则会发现Azure门户正在使用另一个API来完成操作。

我试图通过Powershell将用户添加为仅一个应用程序主体的管理员，但它仍然不适用于Microsoft Graph。

您可以转到Microsoft Graph user voice进行请求，以引起产品组的关注。

相关问答