Как управлять ролями приложения Azure из внешнего приложения

Я создаю приложение, которое использует доступ на основе ролей и создало пользовательские роли приложения в регистрации приложения Azure, а также назначило некоторым пользователям роли в корпоративном приложении. Мой вопрос: можем ли мы удалить и назначить эту пользовательскую роль приложения пользователям через приложение вместо использования Azure?

Я попытался использовать Microsoft Graph API для решения этой проблемы. Во внешнем интерфейсе (React) я делал вызовы Graph API для достижения этой цели и работает нормально. Но для этого требуется разрешение «AppRoleAssignment.ReadWrite.All», которое кажется таким высоким для задачи, которую я выполняю, поскольку оно может назначать любые роли (пользовательские или роли AAD) любым пользователям, приложению и не чувствовать себя в безопасности. предоставить эту область моим конечным пользователям, даже если эту задачу будет выполнять только роль администратора. Есть ли лучший способ реализовать это. Также есть ли способ назначить одну из пользовательских ролей по умолчанию новым пользователям? Цените помощь!