Azure CLI 获取 Azure AD 组成员详情：解决认证与功能限制

1. Azure CLI 获取 AAD 组成员的挑战

在使用 azure cli 管理 azure active directory (aad) 资源时，用户可能会遇到一些挑战，尤其是在尝试获取 aad 组成员详情时。常见的问题包括：

• 访问令牌过期与认证失败：通过 az login 使用用户名和访问令牌进行认证时，访问令牌通常具有较短的有效期（例如1小时）。一旦令牌过期，后续操作将失败并返回 RuntimeError: WsTrust server returned error 或 ID3242: The security token could not be authenticated or authorized. 等错误。
• az ad group member list 的功能限制：根据 Azure CLI 的某些版本，az ad group member list 命令可能存在一个已知的功能缺陷，即无法正确列出作为组成员的服务主体 (Service Principal)。这可能导致获取到的成员列表不完整。
• 服务主体权限不足：即使尝试使用服务主体进行认证，也可能因为缺少必要的权限而收到 Insufficient privileges to complete the operation 错误，阻止获取 AAD 组成员信息。

这些问题使得直接使用 az ad group member list 命令变得不可靠或不可行。

2. 解决方案一：通过 Azure CLI az rest 调用 Microsoft Graph API (Beta)

由于 az ad group member list 命令的局限性，一个有效的替代方案是利用 Azure CLI 的 az rest 命令直接调用 Microsoft Graph API。Graph API 提供了更全面和灵活的 AAD 资源管理能力。

2.1 了解 Microsoft Graph API

Microsoft Graph API 是访问 Microsoft 365 和 Azure AD 数据的统一端点。要获取 AAD 组成员，我们可以使用 group-list-members 接口。需要注意的是，某些高级或最新功能可能仅在 Graph API 的 beta 版本中可用。

2.2 准备工作：认证与权限

在执行 az rest 命令之前，请确保您的 Azure CLI 已正确认证，并且所使用的身份（用户账户或服务主体）具有足够的权限来读取 AAD 组及其成员信息。通常，需要 Group.Read.All 或 GroupMember.Read.All 权限。

2.3 使用 az rest 获取组成员

以下是如何使用 az rest 调用 Graph API 的示例：

# 假设您已通过 `az login` 登录
# 获取 AAD 组的 ObjectId。您可以通过 `az ad group list --display-name "Your Group Name"` 找到。
GROUP_OBJECT_ID="df095002-f3ae-9077-6720-3a095edd8ff4" # 替换为您的组的实际 ObjectId

# 调用 Microsoft Graph Beta API 获取组成员
# 注意：这里使用了 Graph API 的 beta 版本，因为 az ad group member list 可能存在功能缺陷
az rest --method GET \
        --uri "https://graph.microsoft.com/beta/groups/${GROUP_OBJECT_ID}/members" \
        --query "value[].displayName" # 示例：仅查询成员的显示名称

命令解释：

• --method GET: 指定 HTTP 请求方法为 GET。
• --uri "https://graph.microsoft.com/beta/groups/${GROUP_OBJECT_ID}/members": 这是 Graph API 的端点，用于列出指定组的所有成员。beta 表示使用 Graph API 的 beta 版本。
• --query "value[].displayName": 使用 JMESPath 查询语法来筛选和格式化输出。value 是 Graph API 响应中包含成员列表的数组，displayName 是每个成员的显示名称。您可以根据需要调整查询以获取更多属性，例如 value[].userPrincipalName 或 value[] 获取所有属性。

注意事项：

• API 版本：beta 版本可能包含不稳定或未来会更改的功能。在生产环境中，如果 v1.0 版本能满足需求，建议优先使用 v1.0 版本（例如 https://graph.microsoft.com/v1.0/groups/...）。
• 权限：执行此命令的身份必须具有在 Microsoft Graph 中读取组和组成员的权限。
• 服务主体：如果您使用服务主体进行自动化，请确保该服务主体已在 AAD 中被授予相应的 Graph API 权限。

3. 解决方案二：使用 PowerShell 进行 Azure AD 组成员管理

对于 Windows 环境下的用户或需要更强大脚本能力的场景，PowerShell 及其 Azure AD 模块是另一个非常有效的选择。

3.1 准备工作：安装 Azure AD 模块

首先，您需要在 PowerShell 中安装 Azure AD 模块（AzureAD 或 AzureAD.Standard.Preview）。

# 安装 AzureAD 模块
Install-Module -Name AzureAD -Scope CurrentUser

3.2 连接到 Azure AD

在执行任何 Azure AD 相关命令之前，您需要连接到您的 Azure AD 租户。

DeepL Write

DeepL推出的AI驱动的写作助手，在几秒钟内完善你的写作

下载

# 连接到 Azure AD
# 替换  为您的 Azure AD 租户 ID 或域名
Connect-AzureAD -TenantID "your_tenant_id_or_domain.onmicrosoft.com"

此命令将弹出一个认证窗口，要求您使用有权访问该租户的账户进行登录。

3.3 使用 Get-AzureADGroupMember 获取组成员

连接成功后，您可以使用 Get-AzureADGroup 和 Get-AzureADGroupMember cmdlet 来获取组成员信息。

示例 1：列出所有组成员

# 替换 df095002-f3ae-9077-6720-3a095edd8ff4 为您的 AAD 组的 ObjectId
$groupId = "df095002-f3ae-9077-6720-3a095edd8ff4"

# 获取组对象，然后管道传递给 Get-AzureADGroupMember
Get-AzureADGroup -ObjectId $groupId | Get-AzureADGroupMember -All $True | Select-Object DisplayName, UserPrincipalName, ObjectType

• -All $True: 确保获取所有成员，而不仅仅是默认的前 N 个成员。
• Select-Object DisplayName, UserPrincipalName, ObjectType: 筛选并显示成员的显示名称、用户主体名称和对象类型（例如 User, ServicePrincipal）。

示例 2：列出前 50 个组成员

# 替换 df095002-f3ae-9077-6720-3a095edd8ff4 为您的 AAD 组的 ObjectId
$groupId = "df095002-f3ae-9077-6720-3a095edd8ff4"

# 获取组对象，然后管道传递给 Get-AzureADGroupMember
Get-AzureADGroup -ObjectId $groupId | Get-AzureADGroupMember -Top 50 | Select-Object DisplayName, UserPrincipalName

• -Top 50: 限制输出为前 50 个成员。

注意事项：

• 连接状态：在运行任何 Azure AD 命令之前，务必确保已通过 Connect-AzureAD 成功连接到目标租户。
• 权限：执行这些 PowerShell 命令的用户账户必须具有在 AAD 中读取组和组成员的权限。

4. 总结与最佳实践

在 Azure CLI 遇到获取 AAD 组成员的挑战时，我们有多种可靠的替代方案：

1. Azure CLI az rest + Microsoft Graph API：适用于希望继续在 CLI 环境中操作的用户，通过直接调用 Graph API 绕过 az ad group member list 的功能限制。这要求对 Graph API 端点和权限有一定了解。
2. PowerShell + Azure AD 模块：对于需要更强大脚本能力或在 Windows 环境下进行复杂 AAD 管理的用户，PowerShell 提供了功能丰富且稳定的 cmdlet。

最佳实践建议：

• 权限最小化：无论使用哪种方法，始终遵循最小权限原则。确保执行操作的身份（用户或服务主体）只拥有完成任务所需的最低权限。
• 自动化认证：对于自动化脚本，建议使用服务主体 (Service Principal) 或托管标识 (Managed Identity) 进行认证，而不是依赖短期访问令牌或交互式登录，以提高安全性和稳定性。
• API 版本选择：在生产环境中，优先使用 Microsoft Graph API 的 v1.0 版本，除非特定功能仅在 beta 版本中可用且您已充分评估其稳定性。
• 错误处理：在编写自动化脚本时，务必加入适当的错误处理机制，以便在认证失败、权限不足或 API 调用异常时能够优雅地处理。

通过上述方法，您可以有效地解决在 Azure CLI 中获取 Azure AD 组成员详情时遇到的各种问题，确保您的管理和自动化任务能够顺利进行。