Разрешения, необходимые для запуска Remove-AzureRMAdGroup

Question

Я использую имя участника-службы для удаления группы Azure AD (Remove-AzureRMAdGroup), но получаю ошибку insufficient privileges.

Я предоставил SPN следующие разрешения:

График Active Directory (2) - Приложение Читать и писать все приложения - Приложение Чтение и запись данных каталога

График Microsoft (1) - Приложение Чтение и запись групп

Какие разрешения здесь явно отсутствуют? Если мы назначим SPN роль Azure AD UserAccountAdmin, она будет работать, но мы бы предпочли иметь наименее привилегированный доступ.

Answer 1

В настоящее время разрешение на чтение и запись данных каталога не включает в себя возможность делать какие-либо удаления, такие как удаление групп. Вам нужно разрешение microsoft.directory/groups/delete.

Но сегодня нет поддержки пользовательских ролей в Azure Active Directory. Только предопределенные роли администратора. Вы должны предоставить SPN роль Azure AD User administrator, включающую разрешение на удаление группы.

Здесь - шаги.