将 Azure 策略定义部署到管理组权限答案

【问题标题】：Deployment of azure policy definitions to management group permissions将 Azure 策略定义部署到管理组权限
【发布时间】：2021-07-15 23:40:51
【问题描述】：

我正在尝试将一些策略定义部署到管理组，但是我遇到了授权错误。

我通过运行 Azure PowerShell 脚本的 Azure devops 执行此操作，利用 New-AzPolicyDefinition -ManagementGroupName cmdlet。

此管道配置了与服务主体的服务连接，目前使用资源策略贡献者，但我也尝试使用管理组贡献者、贡献者和所有者

任何人都知道为什么我不允许这样做以及需要什么样的权限？

谢谢

【问题讨论】：

你好朋友，这个问题有更新吗？如果您仍然被阻止，请随时告诉我，我会尽力提供帮助:)

标签： azure azure-devops devops azure-policy

【解决方案1】：

对于管理组范围的写入权限，您需要 RBAC 角色：目标管理组的所有者、贡献者、管理组贡献者。

您可以参考this 文档。

确保您使用的是实际名称，而不是管理组的“DisplayName”。

【讨论】：

我是否需要这两个角色才能将策略定义部署到管理组范围？我在管理组中单独给了它所有者和其他提到的角色，没有任何运气

【解决方案2】：

我可以重现您的问题：##[error]AuthorizationFailed : The client '***' with object id '***' does not have authorization to perform action 'Microsoft.Authorization/policydefinitions/write' over scope '***' or the scope is invalid. If access was recently granted, please refresh your credentials.

它对我有用，这是我的步骤：

1.创建管理组：

2.创建服务连接，点击Azure DevOps服务连接中的Manage Service Principal选项：

3.复制显示名称（我的值看起来像 OrgName-ProjectName-SubscriptionID。我发现你的和我的有点不同）：

4.为管理组中的显示名称添加角色分配（所有者或资源策略参与者）。我可以在这里找到两个结果，并将它们都添加了：

5.这是我对 Azure Pipeline 的配置：

【讨论】：

我已将服务主体配置为上述角色，即参与者、所有者、资源策略参与者和管理组参与者。这些规则都不允许我运行部署，即使这些规则设置在我正在执行的管理组树的根目录中
@MathiasWrobel 当我在角色分配中搜索显示名称时，我找到了两个结果并将它们都添加了。您可以分配所有者或资源策略参与者角色。他们在我身边工作。如果您仍然遇到此问题，您可以分享您的角色分配的屏幕截图吗？另外，你说的授权错误和我的一样吗？
prnt.sc/11utueb 是的，错误是一样的。目前它配置了资源策略贡献者，如您在图片中看到的那样，但我已经尝试使用所有者等##[error]AuthorizationFailed：客户端'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'与对象ID “xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”无权在“/providers/Microsoft.Management/managementGroups/MLZ/providers/Microsoft.Authorization/policydefinitions/”范围内执行“Microsoft.Authorization/policydefinitions/write”操作/跨度>
@MathiasWrobel 在角色分配中搜索服务主体时可以找到两个结果。如果我只添加其中一个，我仍然会遇到问题。请尝试在 Azure DevOps 中创建新的服务连接，然后重试。
我现在已经同时设置了所有者和资源策略参与者，然后重新创建了服务连接。还是不行

【解决方案3】：

答案最终是我的管理组 ID 与我的管理组名称不同。在与微软确认后，cmdlet 要求提供 ID 而不是名称，这已解决并确认其文档中缺乏明确性以及他们所知道的内容

【讨论】：