1

我正在尝试在 Azure Active Directory 中自动注册新应用程序。在 Azure CLI 中运行该命令后,它返回并显示以下错误:

Insufficient privileges to complete the operation.

该命令是使用在订阅级别具有所有者权限的服务主体运行的。尝试运行其他 Azure AD 命令(例如az ad app list)时,会引发相同的错误。但是,如果我们运行与 Azure API Manager 相关的命令(例如az apim list),它就可以正常工作。

我们尝试使用 Azure 控制台 ( https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal ) 和 CLI 通过运行以下命令,但都不起作用。

az ad sp create-for-rbac --role Owner --name some-service-principal

执行此操作是否还需要其他任何东西?

4

2 回答 2

0

发生这种情况是因为 Azure AD 和 Azure 订阅在权限方面完全不相关。您的主体(用户\服务主体\应用程序)需要Application Read\WriteAzure AD 权限才能执行该任务

https://docs.microsoft.com/en-us/graph/permissions-reference#application-resource-permissions

az ad app permissionhttps ://docs.microsoft.com/en-us/cli/azure/ad/app/permission?view=azure-cli-latest#az-ad-app-permission-add

其次是az ad app granthttps ://docs.microsoft.com/en-us/cli/azure/ad/app/permission?view=azure-cli-latest#az-ad-app-permission-grant

或者您可以使用门户网站来完成,就像其他答案所暗示的那样

于 2019-12-02T08:42:32.060 回答
0

您提到的 Owner 角色是 Azure RBAC 的一部分,它不适用于 Azure AD。Azure AD 租户位于 Azure 订阅之上,并拥有自己的权限。

您需要将 SP 应用程序权限授予 MS Graph API / AAD Graph API(不确定 CLI 尝试使用哪个)或目录角色。首先,您通过 API 授予 SP 的应用注册权限。可以通过角色和管理员选项卡添加目录角色。

于 2019-12-02T08:42:44.213 回答