如何确定运行特定 Azure PowerShell 命令所需的 API 权限？

Question

我有一个用于自动化的服务主体。它在我们的 Azure Active Directory 的 Microsoft Graph 中具有 Directory.Read.All 权限。

它无法运行Set-AzSqlServerActiveDirectoryAdministrator 命令。我得到的错误是：

Cannot find the Azure Active Directory object 'My-AD-Group'.
Please make sure that the user or group you are authorizing is
registered in the current subscription's Azure Active directory.

如果我运行与我自己相同的命令，它运行得很好。

显然，我的服务主体需要的不仅仅是Directory.Read.All 权限。然而，我找不到任何文档准确列出我的服务主体成功运行此命令所需的 API 权限。

有谁知道我如何确切地发现运行涉及访问 Azure Active Directory 的特定 Azure PowerShell 命令需要哪些 API 权限？

顺便说一句，我不依赖于 PowerShell。我也无法让此命令与az cli 一起使用。我对使用 az 的方法持开放态度，可以得到这个答案。

Answer 1

您需要提供 Azure AD Graph API 的 Directory.Read.All（应用程序权限）而不是 Microsoft Graph API。还要确保service principal有sql server的权限（比如service principal是订阅的Owner或者sql server），这样就可以正常工作了。

如果要将服务主体添加为订阅或 sql server 的角色，请导航到门户中的订阅或 sql server -> Access control (IAM) -> Add -> Add role assignment -> 搜索您的服务主体名称并将其添加为角色（例如Owner）-> Save，更多详细信息here。

Set-AzSqlServerActiveDirectoryAdministrator -ResourceGroupName "<ResourceGroupName>" -ServerName "<ServerName>" -DisplayName "group1" -ObjectId "64d1b8xxxxx4ffbd"

有谁知道我如何确切地发现运行涉及访问 Azure Active Directory 的特定 Azure PowerShell 命令需要哪些 API 权限？

Azure PowerShell 本质上调用不同的 API，要获取 API 的权限，您可以通过 Fiddler 捕获请求，然后查看官方 API 文档以获取权限。