您好我正在尝试使用登录服务主体的 Azure CLI 命令
az ad sp 列表
我收到错误消息权限不足,无法完成操作。
服务主体是订阅的所有者,并且已为 Microsoft Graph 和 Azure Active Directory Graph 分配了委派 API 权限 Directory.Read.All。
我在另一个 Azure 租户上进行了类似的设置,其中相同的命令将为我提供具有相同 API 权限的 SP 列表。少了什么东西。
您好我正在尝试使用登录服务主体的 Azure CLI 命令
az ad sp 列表
我收到错误消息权限不足,无法完成操作。
服务主体是订阅的所有者,并且已为 Microsoft Graph 和 Azure Active Directory Graph 分配了委派 API 权限 Directory.Read.All。
我在另一个 Azure 租户上进行了类似的设置,其中相同的命令将为我提供具有相同 API 权限的 SP 列表。少了什么东西。
显然给 SP 一个“所有者”角色是不够的。你有给它“目录读者”的角色。但是,使用 Azure CLI 或 Portal 是不可能的。您必须使用 Azure AD Graph API,最简单的方法是使用https://graphexplorer.azurewebsites.net/。
现在,添加给 SP 目录读者角色的步骤在这里解释有点长,我在这里找到了它们:https ://lnx.azurewebsites.net/directory-roles-for-azure-ad-service-principal/