使用 az cli 为 outside/foreign 组分配角色?
Role assignment for an outside/foreign group with az cli?
我想做的是在角色分配中使用 foreign/outside AAD 安全组。
我尝试使用 az cli(因为门户网站没有提供从另一个目录中选择组的选项):
所以,我在目录 # 1 中有一个资源,在目录 # 2 中有一个安全组
az role assignment create --role <role_name> --assignee-object-id <securityGroup_objectId(from Directory#2)> --assignee-principal-type Group --scope <ressource(from Directory#1)>
我得到的错误是:
Principal '' does not exist in the directory ''.
我也尝试过使用 --assignee-principal-type ForeignGroup 而不是 --assignee-principal-type Group
我的问题是我不明白在使用 ForeignGroup 时应该如何指定 AAD,这是我找到的doc
看起来可用于向 CSP 合作伙伴分配访问权限:https://docs.microsoft.com/en-us/partner-center/reinstate-csp?tabs=workspaces-view。
我很确定您不能只授予订阅中其他租户的安全组访问权限。
我想做的是在角色分配中使用 foreign/outside AAD 安全组。 我尝试使用 az cli(因为门户网站没有提供从另一个目录中选择组的选项):
所以,我在目录 # 1 中有一个资源,在目录 # 2 中有一个安全组
az role assignment create --role <role_name> --assignee-object-id <securityGroup_objectId(from Directory#2)> --assignee-principal-type Group --scope <ressource(from Directory#1)>
我得到的错误是:
Principal '' does not exist in the directory ''.
我也尝试过使用 --assignee-principal-type ForeignGroup 而不是 --assignee-principal-type Group
我的问题是我不明白在使用 ForeignGroup 时应该如何指定 AAD,这是我找到的doc
看起来可用于向 CSP 合作伙伴分配访问权限:https://docs.microsoft.com/en-us/partner-center/reinstate-csp?tabs=workspaces-view。
我很确定您不能只授予订阅中其他租户的安全组访问权限。