Azure 自动化帐户托管身份和新 MgServicePrincipalAppRoleAssignment

我目前正在 Azure 中准备自动化帐户运行手册。 Runbook 类型是 Powershell 5.1，我还使用 Microsoft.Graph 模块，如下所示：

我已在我的自动化帐户上启用系统分配的托管身份。我将使用自动化帐户 Runbook 筛选出在我的 Entra ID 租户中注册的一些 SPN，然后将指定的 API 权限分配给这些 SPN/注册的应用程序。要将 API 权限分配给注册的应用程序，我使用命令：

New-MgServicePrincipalAppRoleAssignment `
            -ServicePrincipalId $spn.Id `
            -BodyParameter $AppRoleAssignment `
            -Verbose -ErrorAction SilentlyContinue

将托管身份添加到内置 Entra ID 角色后，一切正常，脚本会将所有必需的 API 权限添加到注册的应用程序/SPN，但这不是将托管身份对象添加到

Global Administrator

角色的最佳实践。我测试了其他内置角色，例如：应用程序管理员、云应用程序管理员、目录编写者，添加托管身份对象作为提到的角色的成员，但效果是相同的，没有足够的权限来完成操作。我不确定我应该考虑什么内置 Entra ID 角色。

}