Кажется, вы пытаетесь добавить пользователя, который должен был иметь доступ только для чтения ко всем ресурсам во всех ваших подписках, кроме этого пользователя не должно быть в состоянии что-либо изменить на арендаторе.
Таким образом, лучший способ - добавить этого пользователя как Global Reader(Can read everything that a global administrator can, but not update anything.)
Роль, которая предоставляет полномочия для доступа ко всем ресурсам во всей вашей подписке, но не может ничего изменять среди доступных подписок.
Надеюсь, это поможет вам.