Question

我正在尝试从azure cli创建服务主体。

az login --service-principal -u servicePrincipalGuid -p spPassword --tenant tenantGuid

az ad sp create-for-rbac --skip-assignment

如果我分配给服务负责人全局管理员，则可以使用它，但不能与Application Administration一起使用，根据文档说明，Application Administration应该足够了。

我想知道在没有全局管理员的情况下能够创建服务主体需要哪些角色/权限？

Answer 1

我可以重提您的问题，这很奇怪，根据我的知识，Application administrator角色应该起作用。

命令az ad sp create-for-rbac --skip-assignment成功创建了应用程序注册，但是无法创建相应的服务主体。即使我使用下面的命令测试以为应用创建服务主体。

az ad sp create --id '<object-id of the app registration>'

或powershell

New-AzureADServicePrincipal -AppId <object-id of the app registration>

我想知道在没有全局管理员的情况下能够创建服务主体需要哪些角色/权限？

如果您只想让命令在没有全局管理员的情况下工作，则可以像下面这样添加Application.ReadWrite.All的{{1}}权限，那么它将起作用。