在企业应用程序上分配应用程序角色所需的 AzureAD 目录角色是什么？

Question

我正在尝试找出确切的 Azure Active Directory - 目录角色，这将允许将应用程序角色分配给 AD 组、企业应用程序

权限越低越好，因为全局管理员是完全开放的

我在某些租户/aad 环境中成功使用命令“New-AzureADGroupAppRoleAssignment”，但在其他环境中我收到以下错误。

错误：

New-AzureADGroupAppRoleAssignment : Error occurred while executing NewGroupAppRoleAssignment
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
At line:49 char:11
+           New-AzureADGroupAppRoleAssignment -ObjectId $adGroup.Object ...
+           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [New-AzureADGroupAppRoleAssignment], ApiException
    + FullyQualifiedErrorId : Microsoft.Open.AzureAD16.Client.ApiException,Microsoft.Open.AzureAD16.PowerShell.NewGroupAppRoleAssignment

通过测试，我已确认“全局管理员”AAD 目录角色允许我将企业应用程序上的应用程序分配设置为 AD 组

我将无法在我的开发/生产环境中访问“全局管理员”角色

是否有我可以创建的自定义角色（或传递给 AAD 目录管理员），以允许全局管理员或其他一些实际工作的角色分配给我需要分配的特定企业应用程序角色？

我还尝试了“应用程序管理员”目录角色，这在文档中似乎很合适，但我得到了相同的“权限不足，无法完成操作”错误

如果有条件的目录自定义角色是可能的，我想通过 Powershell 创建它

谢谢

Answer 1

Application Adiministrator 没有这样做的特权，除了Global Administrator，您需要一个名为Privileged role administrator 的最低特权角色来管理角色分配。

看到这个link：

有关 AAD 目录角色的更多详细信息，请参阅此link。

Answer 2

我在以下链接中找到了我的问题的确切答案：https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-Active-Directory-now-with-Group-Claims-and-Application/ba-p/243862

应用程序角色： 组织的全局管理员或用户管理员可以将用户和组分配给 Azure AD 中的应用程序