问题描述
嗨,我正在尝试使用登录到服务主体中的Azure CLI命令
az ad sp列表
,我收到错误消息,权限不足,无法完成操作。
服务主体是订阅的所有者,并已分配了Microsoft Graph和Azure Active Directory Graph的Delegated API Permission Directory.Read.All。
我在另一个Azure租户上具有类似的设置,其中相同的命令将为我提供具有相同API权限的SP列表。缺少什么。
解决方法
显然给SP提供“所有者”角色是不够的。您具有“目录读者”角色。但是,无法使用Azure CLI或门户网站。您必须使用Azure AD Graph API,最简单的方法是使用https://graphexplorer.azurewebsites.net/。
现在,添加步骤赋予SP目录读取者角色的时间有点长,我在这里找到了它们:https://lnx.azurewebsites.net/directory-roles-for-azure-ad-service-principal/