홈>2020-02-25 23:56

Azure Managed Identity Directory 제공 ReadAll

Azure Managed Identity에 Graph with Directory.Read.All에 대한 액세스 권한을 부여하고 싶습니다. https://blog.bredvid.no/accessing-apis-using-azure-managed-service-identity-ff7802b887d?gi=f2307752395a , 그러나 :

그래프 API의 경우 )
z-cli에서이 작업을 수행하고 싶습니다

시도했습니다 ...

graphId=$(az ad sp list --filter "appId eq '00000003-0000-0000-c000-000000000000'" --query "[0].objectId")
roleId=$(az ad sp list --filter "appId eq '00000003-0000-0000-c000-000000000000'" --query "[0].appRoles[?value=='Directory.Read.All' && contains(allowedMemberTypes, 'Application')] | [0].id")
az role assignment create --role $roleId --assignee-object-id fa22d971-c442-41f2-add1-77e636f80d31 --scope $graphId --assignee-principal-type MSI

그러나 결과는 ... "요청에 구독 또는 유효한 테넌트 레벨 자원 제공자가 없습니다."

이것은 내가 스코프 권리가 없다는 것을 의미한다고 생각합니다. az-cli에서이 과제를 수행 할 수 있습니까?

azure-active-directory

답변 # 1
현재 모든 명령에서 응용 프로그램 역할에 서비스 주체 (MSI)를 할당 할 수 없습니다.

와이즈 비즈 RBAC 역할로 사용자/서비스 주체/그룹을 Azure 리소스에 RBAC 역할로 추가하는 것입니다.이 링크의 단계와 동일합니다.
<시간> 크로스 플랫폼 문제로 인해 powershell 대신 Azure CLI를 사용하려는 경우 이외에도
당신은 powershell 코어를 시도 할 수 있습니다, 그것은 크로스 플랫폼입니다, az role assignment create 를 설치하려면이 링크를 참조하십시오 모듈을 넣으면 AzureAD.Standard.Preview 를 사용할 수 있습니다. 명령.
AzureAD

Python2.net

Azure Managed Identity Directory 제공 ReadAll

관련 자료