是否可以將多個角色分配給Azure AD中的用戶或組？

Question

當我在Azure AD的應用程序清單中添加appRoles部分時，我可以將用戶和組分配給管理門戶中的角色。

"appRoles": [ 
    { 
     "allowedMemberTypes": [ 
     "User" 
     ], 
     "description": "Can read data.", 
     "displayName": "Data Reader", 
     "id": "67fba7fa-e54e-4258-b95d-32b082eb771d", 
     "isEnabled": true, 
     "value": "reader" 
    }, 
    { 
     "allowedMemberTypes": [ 
     "User" 
     ], 
     "description": "Can create and edit data.", 
     "displayName": "Data Writer", 
     "id": "e36736c5-e923-435e-8e44-6cae90792931", 
     "isEnabled": true, 
     "value": "writer" 
    } 
    ], 

但是UI只允許我分配給用戶或組一個角色。我找不到如何爲用戶或組分配多個角色。我可以將用戶添加到多個組，並將角色分配給該組的成員，這將導致該用戶令牌中的多個角色聲明，但這看起來很尷尬。

我錯過了什麼嗎？有沒有辦法將多個角色分配給用戶或組？

Answer 1

這原來是Azure management portal的限制。在此blog comment中，AAD PM解釋了可以通過GraphAPI爲用戶或組分配多個角色。

欲瞭解更多信息，請參閱'分配應用程序角色'在此MSDN blog article。