我需要使用PowerShell在Azure AD中注册应用程序。我计划使用New-AzADApplication cmdlet。 cmdlet documentation指出以下内容:
以下是创建应用程序所需的权限:
- Azure Active Directory图形
- Application.ReadWrite.OwnedBy
- Microsoft Graph
- Directory.AccessAsUser.All
- Directory.ReadWrite.All
我了解到这些权限是scopes,这对我来说是个新概念,我不知道该如何在Azure中处理。我发现了这个short demo,它表明可以通过Azure应用注册上下文中的API权限来管理这些范围。但是,该演示显示了已创建应用程序的 之后要管理的范围。如何在创建应用程序之前 建立适当的作用域?
或更笼统地说,如何确保我具有执行New-AzADApplication cmdlet的适当权限?
答案 0 :(得分:2)
在这种情况下,需要这些权限的应用程序是Azure AD PowerShell。如果AAD租户中还没有服务主体,则在首次使用Connect-AzureAD cmdlet时,系统会要求您同意这些作用域。
根据我的经验,它使用的服务主体已经存在于您的租户中。因此它已经具有所需的权限。但是,同样重要的是您的用户权限。由于它使用委派的权限,因此它代表您的用户。为了使其能够创建应用程序,它必须具有必要的范围/授权权限,并且您的用户必须能够创建应用程序。
这些cmdlet还支持充当服务主体/应用程序,在这种情况下,将应用授予用于身份验证的应用程序的应用程序权限,而不是委派权限。但这是我不认为您要问的另一种情况。
答案 1 :(得分:1)
应用程序可以在应用程序注册门户中注明它们需要哪些权限(委派和应用程序)。这允许使用/.default范围和Azure门户的“授予管理员同意”选项。
您可以按照以下过程进行操作:
1。转到Azure门户中的应用程序-应用程序注册经验,或者如果尚未创建应用程序,则创建一个应用程序。
2。找到“ API权限”部分,并在“ API权限”内 点击添加权限。
3。从可用的API列表中选择Microsoft Graph,然后添加 您的应用所需的权限。
4。保存应用程序注册。