在企业应用程序上分配应用程序角色需要哪些AzureAD目录角色?

时间:2018-12-01 19:00:28

标签: powershell azure-active-directory azure-security

我正在尝试找出确切的Azure Active Directory-目录角色,以允许将应用程序角色分配给AD组,企业应用程序上的

权限越低越好,因为Global Admin是开放的

在某些租户/ aad环境中,我已成功使用命令“ New-AzureADGroupAppRoleAssignment”,但在其他环境中,出现以下错误。

错误: 

New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+           New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
    + FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment

通过测试,我确认“全局管理员” AAD目录角色使我可以将Enterprise应用程序上的分配分配设置为AD组

我将无法在我的开发/产品环境中访问“全局管理员”角色

我是否可以创建(或传递给AAD目录管理员)自定义角色,以允许全局管理员或其他实际起作用的角色分配给我需要分配的特定企业应用程序要扮演什么角色?

我还尝试了“ Application Adiministrator”目录角色,该角色在文档中似乎合适,但出现相同的“权限不足,无法完成操作”的错误

如果有条件创建目录“自定义角色”,我想通过Powershell创建它

谢谢

2 个答案:

答案 0 :(得分:1)

Application Adiministrator无权执行此操作,除了Global Administrator,您需要一个名为Privileged role administrator的最低特权角色来管理角色分配。

查看此link

enter image description here

有关AAD目录角色的更多详细信息,请参阅此link

答案 1 :(得分:0)

我在以下链接中找到了我的问题的确切答案:https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-Active-Directory-now-with-Group-Claims-and-Application/ba-p/243862

应用程序角色: 组织的全局管理员或用户管理员可以将用户和组分配给Azure AD中的应用程序

相关问题
最新问题