New-AzureADServiceAppRoleAssignment выдает ошибку при использовании без учетной записи глобального администратора

Question

Я использую приложение .Net Core с размещением на Azure Portal. Теперь в каком-то месте мне нужно использовать Получить подробную информацию о вошедшем в систему Пользователе (Active Directory пользователь) в приложении. Для этого я использую Microsoft Graph API. Итак, чтобы настроить это разрешение, я использую команду Get-AzureADServiceAppRoleAssignment. Он работает нормально, когда я запускаю эту команду с доступом к учетной записи Global Administrator. Но он выдает ошибку, когда я использовал его без доступа к учетной записи Global Administrator. Ошибка: Service_InternalServerError. как показано на изображении ниже. введите описание изображения здесь

У кого-нибудь есть идея или предложения, как избавиться от этой ошибки, и есть ли способ запустить этот скрипт без доступа глобального администратора?

Любая помощь или предложения будут очень оценил! Спасибо

Answer 1

Назначьте администратор облачного приложения роль каталога затронутому пользователю и повторите попытку.

Answer 2

проблема здесь в том, что вам не обязательно нужен глобальный администратор, но приложению / пользователю потребуется роль, которая имеет как минимум разрешения на назначение ролей. так что вы можете создать настраиваемую роль на уровне подписки с разрешениями на назначение ролей. вам потребуется «Microsoft.Authorization / roleAssignments / » и, возможно, «Microsoft.Management/managementGroups/read» «Microsoft.Authorization / roleDefinitions / »

Однако я хотел бы отметить, что если приложение имеет разрешения на назначение ролей, оно может технически назначить себе роль глобального администратора ... так что это не добавляет никакой дополнительной реальной безопасности.