New-AzureADServiceAppRoleAssignment在没有全局管理帐户的情况下使用时会引发错误

问题描述 投票:1回答:2

我正在将.Net Core应用程序托管在Azure Portal上。现在在某个地方,我需要使用“获取应用程序中已登录用户(Active Directory用户”)的详细信息。因此,我正在使用Microsoft Graph API。因此,要设置此权限,我正在使用Get-AzureADServiceAppRoleAssignment命令。当我使用Global Administrator帐户访问权限运行此命令时,它工作正常。但是当我在没有Global Administrator帐户访问权限的情况下使用它时,会引发错误。错误:Service_InternalServerError。如下图所示。enter image description here

任何人都有想法或建议如何消除此错误,并且在没有全局管理员访问权限的情况下,有没有办法运行此脚本?

任何帮助或建议,我们将不胜感激!谢谢

azure azure-active-directory azure-ad-graph-api azure-ad-powershell-v2
2个回答
1
投票

Assign目录角色给受影响的用户,然后重试。

0
投票

这里的问题是您不一定需要全局管理员,但是应用程序/用户将需要一个至少具有角色分配权限的角色。因此您可以在具有角色分配权限的订阅级别上创建自定义角色。你需要 “ Microsoft.Authorization / roleAssignments / ”有可能 “ Microsoft.Management/managementGroups/read” “ Microsoft.Authorization / roleDefinitions /

但是,我想指出的是,如果一个应用程序具有角色分配权限,它可以从技术上为自己分配一个全局管理员角色。因此,它不会增加任何额外的实际安全性。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.