我目前正在 Azure 中准备自动化帐户运行手册。 Runbook 类型是 Powershell 5.1,我还使用 Microsoft.Graph 模块,如下所示:
我已在我的自动化帐户上启用系统分配的托管身份。我将使用自动化帐户 Runbook 筛选出在我的 Entra ID 租户中注册的一些 SPN,然后将指定的 API 权限分配给这些 SPN/注册的应用程序。要将 API 权限分配给注册的应用程序,我使用命令:
New-MgServicePrincipalAppRoleAssignment `
-ServicePrincipalId $spn.Id `
-BodyParameter $AppRoleAssignment `
-Verbose -ErrorAction SilentlyContinue
将托管身份添加到内置 Entra ID 角色后,一切正常,脚本会将所有必需的 API 权限添加到注册的应用程序/SPN,但这不是将托管身份对象添加到
Global Administrator
角色的最佳实践。我测试了其他内置角色,例如:应用程序管理员、云应用程序管理员、目录编写者,添加托管身份对象作为提到的角色的成员,但效果是相同的,没有足够的权限来完成操作。我不确定我应该考虑什么内置 Entra ID 角色。Global Administrator
}