AFAIK, вам не нужно создавать пользовательскую роль в Azure, чтобы разрешить регистрацию приложений Azure AD и принципалов службы.
Кто может зарегистрировать приложение через Azure AD, определяется членством пользователя в самой Azure Active Directory и его «ролью каталога» в этом Azure AD для некоторых операций, но не обычной встроенной в * RBAC или пользовательских ролей , которые вы просматриваете (как вы упомянули список операций провайдера ресурсов ARM в вашем вопросе)
Пожалуйста, обратитесь к этой документации Microsoft: У кого есть разрешение на добавление приложений в мой экземпляр Azure AD?
ОБНОВЛЕНИЕ: Ответ на запрос из комментариев после того, как Саймон отредактировал исходный вопрос.
Как предоставить привилегии регистрации приложения субъекту службы?
Опять же, вы не будете использовать роли RBAC или создавать настраиваемые роли, о которых упоминаете в своем вопросе, а вместо этого предоставите конкретные « разрешения приложения » для соответствующего участника службы в Azure AD. Я дам шаги ниже.
- Перейдите в Azure AD, «Зарегистрированные приложения»
- Найдите свою основную службу (может потребоваться посмотреть все приложения, а не только мои)
- Добавьте необходимые разрешения, как показано ниже:
Как только вы выбрали правильные разрешения и сделали. Пожалуйста, нажмите «Предоставить разрешения», потому что эти разрешения требуют согласия администратора.
