0
  • (Get-AzureRmADUser -Mail $user).Id在 VSTS 中的自托管代理上运行时,Azure PowerShell 任务中的命令返回 null
  • 问题是服务主体需要具有从 Active Directory 读取的权限

如何为服务主体提供从 Azure Active Directory 读取的正确权限?

4

1 回答 1

1

先决条件

  • 检查您是否具有从服务主体获取对象 ID 的适当权限
  • 检查您是否具有将服务主体添加到 Azure Active Directory 租户(-> 管理员)中的“目录读者”角色的适当权限

脚步

  • Install-Module AzureAD通过[1]安装 Azure AD 模块

  • 连接到 Azure Active Directory

    • Connect-AzureAD

  • 获取“目录读者”角色的 ID

    • $roleId = (Get-AzureADDirectoryRole | where-object {$_.DisplayName -eq "Directory Readers"}).Objectid

  • 获取服务主体对象 ID

    • $spObjectId = (Get-AzureADServicePrincipal -SearchString "spName").ObjectId
      • 这当然仅在结果仅包含一个 ObjectId 时才有效
      • 这不是在 Azure Active Directory 中注册的应用程序的 ObjectId

  • 将服务主体添加到“目录读者”角色

    • Add-AzureADDirectoryRoleMember -ObjectId $roleId -RefObjectId $spObjectId

  • 检查 SP 是否分配给目录读者角色

    • Get-AzureADDirectoryRoleMember -ObjectId $roleId | Where-Object {$_.ObjectId -eq $spObjectId}

  • 如果您想在稍后阶段从角色中删除服务主体

    • Remove-AzureADDirectoryRoleMember -ObjectId $roleId -MemberId $spObjectId

另见 [2]

资源

[1]安装 Azure AD 模块

[2]使用服务主体连接到 PowerShell 中的目录

于 2018-08-09T04:46:35.627 回答