1

我正在尝试在 Azure 自动化运行手册中执行此操作

$app = Get-AzureADApplication -ObjectId $ApplicationId
$appRole = New-Object Microsoft.Open.AzureAD.Model.AppRole
$appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string]
$appRole.AllowedMemberTypes.Add("User");
$appRole.DisplayName = $TenantName + " Users"
$appRole.Id = New-Guid
$appRole.IsEnabled = $true
$appRole.Description = "Users of the tenant"
$appRole.Value = $TenantName

$app.AppRoles.Add($appRole)

Set-AzureADApplication -ObjectId $ApplicationId -AppRoles $app.AppRoles

阅读应用程序工作正常,当我打印 app 变量时,我可以看到它是正确的应用程序。从我自己的机器上执行脚本也没有错误。然而通过运行手册执行它给了我:

Set-AzureADApplication : Error occurred while executing SetApplication 
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed

到目前为止,我已经为 Azure AD 中的自动化应用程序注册提供了 Active Directory API 的所有权限。我还单击了“授予权限”。我知道这是正确的应用程序注册,因为当我在开始工作的“Graph Api”上授予正确的权限时,该脚本还会邀请外部用户。

配置

4

1 回答 1

2

我在运行手册中尝试了您的确切脚本并使其工作,我必须在您的 PowerShell 脚本之前将代码添加到“以服务主体身份登录”。您可以在此处查看更多详细信息: 在 Azure 自动化中使用 Azure 运行方式帐户

在权限方面,我只授予了 1 个应用程序权限(即“读取和写入所有应用程序”),然后单击“授予权限”,因为它确实需要管理员同意。步骤由在我的 Azure AD 中具有“全局管理员”目录角色的用户完成。

这是我最终的工作 PowerShell 脚本(从编辑运行手册复制):

# Get Azure Run As Connection Name
$connectionName = "AzureRunAsConnection"
# Get the Service Principal connection details for the Connection name
$servicePrincipalConnection = Get-AutomationConnection -Name $connectionName         

# Logging in to Azure AD with Service Principal
"Logging in to Azure AD..."
Connect-AzureAD -TenantId $servicePrincipalConnection.TenantId `
    -ApplicationId $servicePrincipalConnection.ApplicationId `
    -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint

$ApplicationId = "redacted-xxxx-xxxx-xxxx-xxxxxxxe3"
$TenantName = "RohitTenant"
$app = Get-AzureADApplication -ObjectId $ApplicationId
$appRole = New-Object Microsoft.Open.AzureAD.Model.AppRole
$appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string]
$appRole.AllowedMemberTypes.Add("User");
$appRole.DisplayName = $TenantName + " Users"
$appRole.Id = New-Guid
$appRole.IsEnabled = $true
$appRole.Description = "Users of the tenant"
$appRole.Value = $TenantName
$app.AppRoles.Add($appRole)

Set-AzureADApplication -ObjectId $ApplicationId -AppRoles $app.AppRoles

以下是我遵循的其他一些重要步骤的屏幕截图,您可能已经完成,也可能尚未完成。

  1. 创建自动化帐户时创建 Azure 运行方式帐户

    在此处输入图像描述

  2. 确保您的自动化帐户的帐户设置现在已作为帐户运行。

    在此处输入图像描述

  3. 找到为 Run as Account 创建的应用注册,并授予其读取和写入所有 Azure AD 应用程序的权限。

    在此处输入图像描述

    在此处输入图像描述

于 2018-11-10T03:34:27.547 回答