#azure #permissions #azure-cli #azure-service-principal
#azure #разрешения #azure-cli #azure-service-principal
Вопрос:
Привет, я пытаюсь использовать команду Azure CLI, зарегистрированную в качестве участника службы
список az ad sp
и я получаю сообщение об ошибке Недостаточно привилегий для завершения операции.
Участник службы является владельцем подписки и ему назначено делегированное разрешение API Directory.Read.Все для Microsoft Graph и Azure Active Directory Graph.
У меня аналогичная настройка на другом клиенте Azure, где та же команда предоставит мне список SP с теми же разрешениями API. Чего не хватает.
Комментарии:
1. Добавление разрешения API приложения для Directory.Read. Кажется, все делает свое дело
2. Если вы решили свою проблему, пожалуйста, добавьте ее в качестве ответа вместо комментария.
Ответ №1:
По-видимому, предоставления SP роли «Владельца» недостаточно. У вас есть возможность присвоить ему роль «Читатели каталога». Однако это невозможно с помощью командной строки Azure или портала. Вы должны использовать Azure AD Graph API, самый простой способ сделать это — использовать https://graphexplorer.azurewebsites.net /.
Теперь, шаги по добавлению, чтобы предоставить SP роль читателей каталогов, немного долго объяснять здесь, я нашел их здесь: https://lnx.azurewebsites.net/directory-roles-for-azure-ad-service-principal /
Комментарии:
1. Обратите внимание, что в OP указано, что «Участник службы является владельцем подписки и ему назначено делегированное разрешение API Directory.Read. Все для Microsoft Graph и Azure Active Directory Graph «.