У меня есть субъект обслуживания, который я использую для автоматизации.Он имеет разрешение Directory.Read.All
в Microsoft Graph для нашей Azure Active Directory.
Он не может выполнить команду Set-AzSqlServerActiveDirectoryAdministrator
.Я получаю сообщение об ошибке:
Cannot find the Azure Active Directory object 'My-AD-Group'.
Please make sure that the user or group you are authorizing is
registered in the current subscription's Azure Active directory.
Если я запускаю ту же команду, что и я, она работает просто отлично.
Очевидно, что для моего руководителя службы требуется больше, чем разрешение Directory.Read.All
.Тем не менее я не могу найти никакой документации, в которой точно указан список разрешений API, который понадобится моему компоненту службы для успешного выполнения этой команды.
Кто-нибудь знает, как я могу точно определить, какие разрешения API необходимы для выполнения конкретной команды Azure PowerShell?что подразумевает доступ к Azure Active Directory?
Кроме того, я не привязан к PowerShell.Я не могу заставить эту команду работать с az
cli.Я открыт для методов, использующих az
, которые бы дали мне этот ответ.