Azure active directory 权限不足,无法执行Get-AzureADApplication和Set-AzureADApplication等操作
我想自动化部署,它需要更新Azure AD应用程序注册的设置 到目前为止,我能够:Azure active directory 权限不足,无法执行Get-AzureADApplication和Set-AzureADApplication等操作,azure-active-directory,azure-ad-graph-api,Azure Active Directory,Azure Ad Graph Api,我想自动化部署,它需要更新Azure AD应用程序注册的设置 到目前为止,我能够: 创建具有证书的Azure AD Appregistration和服务主体(thx MS文档) 然后使用命令Connect AzureAD和以前的服务主体及其证书 使用像Get-AzureADApplication-ObjectId 11111111-2222-3333-4444-5555这样的命令 在前面的项目符号ObjectId 11111111-2222-3333-4444-555555中,与我在第一个项目
- 创建具有证书的Azure AD Appregistration和服务主体(thx MS文档)
- 然后使用命令Connect AzureAD和以前的服务主体及其证书
- 使用像Get-AzureADApplication-ObjectId 11111111-2222-3333-4444-5555这样的命令
- 在前面的项目符号ObjectId 11111111-2222-3333-4444-555555中,与我在第一个项目符号上创建的应用程序匹配
- 获取AzureADApplication-筛选器“DisplayName eq'$AADApplicationName'”
- $aADApplicationame与以前创建的应用程序匹配
- 设置AzureADApplication-ObjectId$aADApplication.ObjectId-ReplyUrls$ReplyUrls
- 获得AzADServicePrincipal
尊敬。您正面临此问题,因为Powershell cmdlet的工作方式与MS Graph不同。Powershell需要角色而不是权限来执行此操作。请将全局管理员角色添加到您的服务原则中,然后尝试
Connect AzureAD
,以便解决此问题
有关详细信息,请参阅。您正面临此问题,因为Powershell cmdlet的工作方式与MS Graph不同。Powershell需要角色而不是权限来执行此操作。请将全局管理员角色添加到您的服务原则中,然后尝试
Connect AzureAD
,以便解决此问题
有关更多详细信息,请参阅。另一个答复中提到,您可以将
全局管理员
角色授予服务主体,这是正确的,但在这种情况下全局管理员
的权限太大,可能会导致一些安全问题
在这种情况下,您使用的命令Get-AzureADApplication
和Set-AzureADApplication
实际上是调用Azure AD Graph API,因此要解决此问题,更好的解决方案是添加Azure AD Graph API的权限,请按照以下步骤操作
1.导航到您的广告应用程序的API权限
->选择Azure Active Directory图形
(非Microsoft图形
)
2.选择应用程序权限
(非授权权限
)->应用程序。读写。所有
->单击添加权限
3.最后,单击授予xxx管理员许可
按钮
过一会儿,再次尝试这些命令,它将正常工作
更新:
查看文档后,我发现MS已经发布了一些新命令,这些命令称为Microsoft Graph,以前从未见过
e、 g.在您的情况下,您可以使用而不是获取AzureADApplication
Get-AzureADMSApplication -Filter "DisplayName eq 'joyttt'"
Set-AzureADMSApplication -ObjectId <object-id> -Web @{ RedirectUris = "https://mynewapp.contoso.com/" }
使用而不是设置AzureADApplication
Get-AzureADMSApplication -Filter "DisplayName eq 'joyttt'"
Set-AzureADMSApplication -ObjectId <object-id> -Web @{ RedirectUris = "https://mynewapp.contoso.com/" }
Set-AzureADMSApplication-ObjectId-Web@{RedirectUris=”https://mynewapp.contoso.com/" }
对于
获取AzADServicePrincipal
,目前没有等效的,将来应该有。使用上述命令时,Microsoft Graph的权限将起作用,无需使用Azure AD Graph,但您应该使用应用程序权限
,而不是委派权限
(您在问题中使用了委派权限
。如另一个答复所述,您可以将全局管理员
角色授予服务主体,这是正确的,但在这种情况下全局管理员
的权限太大,可能会导致一些安全问题
在这种情况下,您使用的命令Get-AzureADApplication
和Set-AzureADApplication
实际上是调用Azure AD Graph API,因此要解决此问题,更好的解决方案是添加Azure AD Graph API的权限,请按照以下步骤操作
1.导航到您的广告应用程序的API权限
->选择Azure Active Directory图形
(非Microsoft图形
)
2.选择应用程序权限
(非授权权限
)->应用程序。读写。所有
->单击添加权限
3.最后,单击授予xxx管理员许可
按钮
过一会儿,再次尝试这些命令,它将正常工作
更新:
查看文档后,我发现MS已经发布了一些新命令,这些命令称为Microsoft Graph,以前从未见过
e、 g.在您的情况下,您可以使用而不是获取AzureADApplication
Get-AzureADMSApplication -Filter "DisplayName eq 'joyttt'"
Set-AzureADMSApplication -ObjectId <object-id> -Web @{ RedirectUris = "https://mynewapp.contoso.com/" }
使用而不是设置AzureADApplication
Get-AzureADMSApplication -Filter "DisplayName eq 'joyttt'"
Set-AzureADMSApplication -ObjectId <object-id> -Web @{ RedirectUris = "https://mynewapp.contoso.com/" }
Set-AzureADMSApplication-ObjectId-Web@{RedirectUris=”https://mynewapp.contoso.com/" }
对于获取AzADServicePrincipal
,目前没有等效的,将来应该有。使用上述命令时,Microsoft Graph的权限将起作用,无需使用Azure AD Graph,但您应该使用应用程序权限
,而不是委派权限
(您在问题中使用了委派权限
)Hi Hari