У меня есть немного сложное требование, и, извините, если название звучит расплывчато.Но вот что я пытаюсь сделать.
Итак, у меня есть учетная запись для автоматизации, скажем, AutomationAccount_Parent в subscription_01 .Имеется модуль Runbook, который создает новую учетную запись автоматизации ( AutomationAccount_Child ) в subscription_02 , а также создает учетную запись RunAs для этой дочерней учетной записи автоматизации.(Называя его «дочерний» просто для ясности)
Теперь, наряду с созданием этой учетной записи RunAs AutomationAccount_Child , я также хочу, чтобы родительский модуль Runbook предоставил разрешение AAD «Чтение данных каталога» дляприложение AAD, которое создается для AutomationAccount_Child .
Примечание: Это разрешение необходимо предоставить TO дочерняя учетная запись автоматизации приложение AD BY родительский runbook в учетной записи родительской автоматизации.
Теперь вопросы:
- Возможно ли это?
- Не могли бы вы помочь мне с командлетом?Я не могу найти подходящий командлет.
- Какое разрешение на AAD в первую очередь требуется учетной записи автоматизации PARENT, чтобы иметь возможность предоставлять такого рода разрешения дочерним учетным записям автоматизации?