Я пытаюсь выяснить точную Azure Active Directory - роль каталога, которая позволит назначать роли приложений для группы AD в приложениях Enterprise и Enterprise
Наименьшее количество привилегийтем лучше, поскольку Global Admin широко открыт
Я успешно использую команду «New-AzureADGroupAppRoleAssignment» в определенных средах арендатора / администратора, но в других я получаю следующую ошибку.
Ошибка:
New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+ New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
+ FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment
В ходе тестирования я подтвердил, что роль каталога AAD «Глобальный администратор» позволяет мне назначать подходящие назначения в приложении Enterprise для группы AD
У меня не будет доступа к роли «Глобальный администратор» в моей среде dev / prod
Есть ли пользовательская роль, которую я могу создать (или передать администраторам каталогов AAD)), чтобы разрешить либо глобальному администратору, либо какой-либо другой роли, которая действительно работает, для конкретных корпоративных приложений, которые мне понадобятся для назначения ролей?
Я также попробовал роль каталога «Application Adiministrator», которая в документации кажется подходящей, но я получаю ту же ошибку «Недостаточно прав для завершения операции»
Если условная роль каталога является условнойвозможно, я хотел бы создать его через Powershell
Спасибо