我正在尝试从azure cli创建服务主体。
az login --service-principal -u servicePrincipalGuid -p spPassword --tenant tenantGuid
az ad sp create-for-rbac --skip-assignment
如果我分配给服务负责人全局管理员,则可以使用它,但不能与Application Administration一起使用,根据文档说明,Application Administration应该足够了。
我想知道在没有全局管理员的情况下能够创建服务主体需要哪些角色/权限?
答案 0 :(得分:0)
我可以重提您的问题,这很奇怪,根据我的知识,Application administrator
角色应该起作用。
命令az ad sp create-for-rbac --skip-assignment
成功创建了应用程序注册,但是无法创建相应的服务主体。即使我使用下面的命令测试以为应用创建服务主体。
az ad sp create --id '<object-id of the app registration>'
或powershell
New-AzureADServicePrincipal -AppId <object-id of the app registration>
我想知道在没有全局管理员的情况下能够创建服务主体需要哪些角色/权限?
如果您只想让命令在没有全局管理员的情况下工作,则可以像下面这样添加Application.ReadWrite.All
的{{1}}权限,那么它将起作用。