在企业应用程序上分配应用程序角色所需的 AzureAD 目录角色是什么?
What are the required AzureAD Directory Roles For Assigning Application Roles on Enterprise Apps?
我正在尝试找出确切的 Azure Active Directory - 目录角色,它将允许将应用程序角色分配给企业应用程序上的 AD 组
权限越少越好,因为全局管理员是完全开放的
我在某些租户/aad 环境中成功使用命令 "New-AzureADGroupAppRoleAssignment",但在其他环境中我收到以下错误。
错误:
New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+ New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
+ FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment
通过测试,我已经确认 "Global Administrator" AAD 目录角色允许我在企业应用程序上设置 approle 分配给 AD 组
我将无法访问我的 dev/prod 环境中的 "Global Administrator" 角色
是否有我可以创建(或传递给 AAD 目录管理员)的自定义角色,以允许全局管理员或其他一些实际工作的角色,我会的特定企业应用程序需要将角色分配给?
我还尝试了 "Application Adiministrator" 目录角色,这在文档中似乎很合适,但我得到了相同的 "Insufficient privileges to complete the operation" 错误
如果目录自定义角色条件是可能的,我想通过 Powershell 创建它
谢谢
Application Adiministrator 没有这样做的特权,除了 Global Administrator,您需要一个名为 Privileged role administrator 的最低特权角色来管理角色分配。
看到这个link:
有关 AAD 目录角色的更多详细信息,请参阅此 link。
我在以下 link 找到了我的问题的确切答案:https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-Active-Directory-now-with-Group-Claims-and-Application/ba-p/243862
应用角色:
组织的全局管理员或用户管理员可以将用户和组分配给 Azure AD 中的应用程序
我正在尝试找出确切的 Azure Active Directory - 目录角色,它将允许将应用程序角色分配给企业应用程序上的 AD 组
权限越少越好,因为全局管理员是完全开放的
我在某些租户/aad 环境中成功使用命令 "New-AzureADGroupAppRoleAssignment",但在其他环境中我收到以下错误。
错误:
New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+ New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
+ FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment
通过测试,我已经确认 "Global Administrator" AAD 目录角色允许我在企业应用程序上设置 approle 分配给 AD 组
我将无法访问我的 dev/prod 环境中的 "Global Administrator" 角色
是否有我可以创建(或传递给 AAD 目录管理员)的自定义角色,以允许全局管理员或其他一些实际工作的角色,我会的特定企业应用程序需要将角色分配给?
我还尝试了 "Application Adiministrator" 目录角色,这在文档中似乎很合适,但我得到了相同的 "Insufficient privileges to complete the operation" 错误
如果目录自定义角色条件是可能的,我想通过 Powershell 创建它
谢谢
Application Adiministrator 没有这样做的特权,除了 Global Administrator,您需要一个名为 Privileged role administrator 的最低特权角色来管理角色分配。
看到这个link:
有关 AAD 目录角色的更多详细信息,请参阅此 link。
我在以下 link 找到了我的问题的确切答案:https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-Active-Directory-now-with-Group-Claims-and-Application/ba-p/243862
应用角色: 组织的全局管理员或用户管理员可以将用户和组分配给 Azure AD 中的应用程序