从蔚蓝cli创建服务主体

Question

我正试图从蔚蓝的cli中创建一个服务主体。

az login --service-principal -u servicePrincipalGuid -p spPassword --tenant tenantGuid

az ad sp create-for-rbac --skip-assignment

如果我分配给服务主体全局管理员，它就能工作，但它不适用于应用程序管理( Administration )，根据文档，应用程序管理应该足够了。

我想知道在没有全局管理员的情况下创建服务主体需要哪些角色/权限？

Answer 1

我可以复制你的问题，这真的很奇怪，根据我的知识，Application administrator的角色应该工作。

​

​

命令az ad sp create-for-rbac --skip-assignment成功地创建了应用程序注册，但是它不能创建相应的服务主体。即使我使用下面的命令进行测试，以创建应用程序的服务主体。

az ad sp create --id '<object-id of the app registration>' 

或powershell

New-AzureADServicePrincipal -AppId <object-id of the app registration>

，我想知道在没有全局管理员的情况下创建服务主体需要哪些角色/权限？

如果您只想让命令在不需要全局管理的情况下工作，您可以像下面这样添加Application.ReadWrite.All Azure Active Directory Graph权限，那么它就能工作了。

​

​

​

​