所有者级别服务主体权限不适用于Azure Active Directory_Azure_Azure Active Directory_Azure Cli_Azure Rbac

所有者级别服务主体权限不适用于Azure Active Directory

azure azure-active-directory

所有者级别服务主体权限不适用于Azure Active Directory,azure,azure-active-directory,azure-cli,azure-rbac,Azure,Azure Active Directory,Azure Cli,Azure Rbac,我正在尝试在Azure Active Directory中自动注册新应用程序。在Azure CLI中运行该命令时，返回以下错误： Insufficient privileges to complete the operation. 该命令是使用在订阅级别具有所有者权限的服务主体运行的。当尝试运行其他Azure AD命令（例如，az AD应用程序列表）时，会引发相同的错误。但是，如果我们运行与Azure API管理器相关的命令（例如，az-apim-list），它就可以正常工作我们已经尝试通过

我正在尝试在Azure Active Directory中自动注册新应用程序。在Azure CLI中运行该命令时，返回以下错误：

Insufficient privileges to complete the operation.

该命令是使用在订阅级别具有所有者权限的服务主体运行的。当尝试运行其他Azure AD命令（例如，

az AD应用程序列表

）时，会引发相同的错误。但是，如果我们运行与Azure API管理器相关的命令（例如，

az-apim-list

），它就可以正常工作

我们已经尝试通过运行以下命令，使用Azure控制台（）和CLI创建服务主体，但两者都不起作用

az ad sp create-for-rbac --role Owner --name some-service-principal

执行此操作还需要什么吗？

这是因为Azure AD和Azure订阅在权限方面完全不相关。您的主体（用户\服务主体\应用程序）需要

Application Read\Write

Azure AD权限才能执行该任务

az广告应用权限

：

紧接着是az广告应用许可证：

或者你也可以使用门户网站，就像另一个答案所建议的那样，这是因为Azure广告和Azure订阅在权限方面完全不相关。您的主体（用户\服务主体\应用程序）需要

Application Read\Write

Azure AD权限才能执行该任务

az广告应用权限

：

紧接着是az广告应用许可证：

或者你也可以使用门户网站，就像另一个答案所建议的那样，你提到的所有者角色是Azure RBAC的一部分，它不适用于Azure AD。 Azure AD租户位于Azure订阅之上，并拥有自己的权限

您需要将SP应用程序权限授予MS Graph API/AAD Graph API（不确定CLI正在尝试使用哪一个）或目录角色。第一次通过API授予SP的应用程序注册权限。

可以通过“角色和管理员”选项卡添加目录角色。

您提到的所有者角色是Azure RBAC的一部分，它不适用于Azure AD。 Azure AD租户位于Azure订阅之上，并拥有自己的权限

您需要将SP应用程序权限授予MS Graph API/AAD Graph API（不确定CLI正在尝试使用哪一个）或目录角色。第一次通过API授予SP的应用程序注册权限。

可以通过“角色和管理员”选项卡添加目录角色。

我不太清楚为什么有人会否决两个完全相同（几乎相同）的合法答案。我会修正你的；）我不太清楚为什么有人会否决两个完全相同（几乎）合法的答案。我会修正你的；））