语境

我们在 Azure上使用多个目录（TENANT_A、TENANT_B）。我们的目标是创建一个服务主体（应用程序），_SP_APP，里面TENANT_A被授予访问到TENANT_B。我们想在脚本中使用这个服务主体来轻松管理这两个目录。脚本之一是在TENANT_B内进行新的应用程序注册，并为这些应用程序授予管理员同意。

做了什么

_SP_APP

• 两个目录的全局管理员
• 授予对TENANT_B 的访问权限（在企业应用程序中可见）
• Api 权限已获得管理员同意（TENANT_A和TENANT_B）
  • Microsoft Graph（委派和应用程序完全访问权限）
  • Azure Active Directory Graph（委派和应用程序完全访问权限）

脚步

正常工作

# Login with service principal of multiple tenants application
az login --service-principal -u _SP_APP -p <PASSWORD> --tenant TENANT_B
# Creating application and fetching ID
_OBJECT_ID=`az ad app create ...` 

不工作

# Granting Admin Consent
az ad app permission admin-consent --id …