部署 Azure 服务主体的权限不足答案

【问题标题】：Insufficient privileges to deploy Azure Service Principal部署 Azure 服务主体的权限不足
【发布时间】：2020-08-07 16:04:42
【问题描述】：

我是 Microsoft 员工，并且是 Azure 的新手。我想在我的内部 Microsoft Azure 订阅上部署服务主体。使用 Azure CLI，当我运行时

az ad sp create-for-rbac --name $spn_name

我收到错误“权限不足，无法完成操作”。这里的文档 (https://docs.microsoft.com/en-us/cli/azure/create-an-azure-service-principal-azure-cli?view=azure-cli-latest) 让我看起来好像没有正确配置 Azure Active Directory。

我的内部订阅中没有 Azure Active Directory。我需要添加这个吗？如果是这样，我如何在我的 Microsoft 内部帐户上进行设置？有没有办法在没有 Azure Active Directory 的情况下创建服务主体？

【问题讨论】：

【解决方案1】：

没有管理员角色的普通用户也可以使用 Azure CLI 创建服务原则。如果场景是您从应用程序创建服务原则，那么您需要应用程序权限。请转至similar question，这有助于解决您的问题。

【讨论】：

不得不让全局管理员参与到诸如为 Azure DevOps 服务连接创建服务主体之类的事情中，这是非常重要的 PITA - 我希望有某种方法可以创建订阅本地身份/服务主体
嗨@Cocowalla，我不知道devops方案，但请查看我更新的答案。
您链接到的问题是关于向服务主体分配权限，而不是开发人员首先需要哪些权限来创建服务主体？
对于用户级别，不需要权限。管理员应该允许用户注册一个应用程序，如卡尔赵所说
是的，但是“用户可以注册应用”是权限！问题是它对所有人或没有人启用，因此企业不喜欢使用它

【解决方案2】：

不要求您具有管理员权限。

如果您帐户的用户类型只是租户中的成员。确保在门户 -> AAD -> 用户设置 -> 用户可以注册应用程序是。

【讨论】：

不幸的是，这是一个相当生硬的工具，因此许多组织不会启用它
@Cocowalla 这是必须的！
@Cocowalla 如果我的回答对您有帮助，您可以接受它作为答案（单击答案旁边的复选标记，将其从灰色切换为已填充。）。请参阅meta.stackexchange.com/questions/5234/… 这可能对其他社区成员有益。谢谢。
@Cocowalla 如果您有任何问题，请随时问我，我会尽快回复您。
我不是 OP，我只是随意吐槽一下 Azure 的权限模型对于创建/编辑 AAD 应用程序注册/主体的访问权限是多么可怕不方便:)

【解决方案3】：

问题似乎在于我的 SP 名称不是唯一的。更改名称为我解决了这个问题。

【讨论】：