0

我正在尝试找出确切的 Azure Active Directory - 目录角色,这将允许将应用程序角色分配给 AD 组、企业应用程序

权限越低越好,因为全局管理员是开放的

我在某些租户/aad 环境中成功使用命令“New-AzureADGroupAppRoleAssignment”,但在其他环境中我收到以下错误。

错误:

New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+           New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
    + FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment

通过测试,我已经确认“全局管理员”AAD 目录角色允许我将企业应用程序上的应用程序分配设置为 AD 组

我将无法访问我的开发/生产环境中的“全局管理员”角色

是否有我可以创建(或传递给 AAD 目录管理员)的自定义角色,以允许全局管理员或其他一些实际工作的角色到我需要分配角色的特定企业应用程序?

我还尝试了“应用程序管理员”目录角色,该角色在文档中似乎很合适,但我得到了相同的“权限不足,无法完成操作”错误

如果有条件的目录自定义角色是可能的,我想通过 Powershell 创建它

谢谢

4

2 回答 2

1

Application Adiministrator无权执行此操作,除了 之外,Global Administrator您需要一个名为的最小特权角色Privileged role administrator来管理角色分配。

请参阅此链接

在此处输入图像描述

有关 AAD 目录角色的更多详细信息,请参阅此链接

于 2018-12-03T01:44:06.777 回答
0

我在以下链接中找到了我的问题的确切答案:https ://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-Active-Directory-now-with-Group-Claims-and-应用程序/ba-p/243862

应用程序角色:组织的全局管理员或用户管理员可以将用户和组分配给 Azure AD 中的应用程序

于 2018-12-03T05:20:40.147 回答