Недостаточно прав для завершения операции со списком субъектов службы с использованием списка az ad sp.

Привет, я пытаюсь использовать команду Azure CLI, зарегистрированную в субъекте службы

список az ad sp

и я получаю сообщение об ошибке Недостаточно прав для завершения операции.

Субъект-служба является владельцем подписки, и ему назначен каталог разрешений делегированного API.Read.All как для Microsoft Graph, так и для Azure Active Directory Graph.

У меня аналогичная настройка на другом клиенте Azure, где та же команда предоставит мне список SP с такими же разрешениями API. Чего не хватает.


azure permissions azure-cli azure-service-principal
person Kaule    schedule 13.10.2020    source источник
comment
Добавление разрешения API приложения для Directory.Read.All, похоже, помогает   -  person Kaule    schedule 13.10.2020
comment
Если вы решили свою проблему, добавьте ее в качестве ответа вместо комментария.   -  person Joy Wang    schedule 14.10.2020

Ответы (1)


arrow_upward
0
arrow_downward

Очевидно, что наделить ИП ролью «Владелец» недостаточно. Вы можете назначить ему роль «Читатели каталога». Однако это невозможно с помощью Azure CLI или портала. Вам необходимо использовать Azure AD Graph API, самый простой способ сделать это - использовать https://graphexplorer.azurewebsites.net/.

Теперь шаги по добавлению для SP роли читателей каталогов немного длинны для объяснения здесь, я нашел их здесь: https://lnx.azurewebsites.net/directory-roles-for-azure-ad-service-Principal/

person singhh-msft    schedule 14.10.2020