Служба связи Azure — ошибка «Приложение пытается получить доступ к службе 1fd5118e-2576-4263-8130-9503064c837a». Тогда известное решение не работает
- Я являюсь владельцем подписки
- Я администратор облачных приложений в арендаторе Entra ID.
- Я выполняю все шаги, описанные ниже (а также в руководстве), в новом новом приватном окне браузера.
Я пытаюсь следовать следующему: Настройка токенов доступа и управление ими для пользователей Teams На шаге 5 я столкнулся с проблемой, именно той, которую предвидел автор, и автор также описал решение проблемы на случай, если она возникнет. происходит:
Проблема, которую автор предусмотрел и описал в Шаге 5:
Если вы столкнулись с проблемой «Приложение пытается получить доступ к службе «1fd5118e-2576-4263-8130-9503064c837a» (Azure Communication Services), для которой в вашей организации «{GUID}» отсутствует субъект службы....
Решение, описанное автором в шаге 5, в случае возникновения вышеуказанной проблемы: (обратите внимание, что руководство исправлено, означает, что оно принадлежит службам связи Azure, а не моему или специальному)
PS> Connect-MgGraph -TenantId "my tenant guid" -Scopes Application.ReadWrite.All
PS> New-MgServicePrincipal -AppId "1fd5118e-2576-4263-8130-9503064c837a"
Я выполняю это предложенное решение в своей Azure Cloud Shell. Аутентификация по графу прошла успешно, но New-MgServicePrincipal выдаёт 403 (Запрещено):
New-MgServicePrincipal_CreateExpanded: недостаточно прав для завершить операцию.
Статус: 403 (Запрещено) Код ошибки: Authorization_RequestDenied Дата: 2024-05-03T07:32:18
Заголовки: Cache-Control: no-cache Vary
: Accept-Encoding Strict-Transport-Security : max-age=31536000 идентификатор запроса: 7 ---- 8 идентификатор-запроса-клиента: b---4 x-ms-ags-diagnostic : {"ServerInfo":{"DataCenter":"Север Европа","Slice":"E","Ring":"4","ScaleUnit":"009","RoleInstance":"D*3"}} x-ms-resource-unit: 1 Дата: пятница, 03 мая 2024 07:32:17 GM
Либо сообщение об ошибке 403 Forbidden вводит в заблуждение, либо что-то еще не так, либо у меня действительно нет достаточных привилегий, тогда что это?
Любая идея, с этого момента гуглить действительно безнадежно (кстати, я пробовал, но максимум, что я могу найти, это решение, которое описал автор)
Предоставили ли вы подходящие или активные назначения ролей для роли администратора облачных приложений?
@Rukmini, к сожалению, я не понимаю ни ваших рекомендаций, я *нахожусь в роли администратора облачных приложений, которая является встроенной ролью. Кроме того, что вы имеете в виду под «назначением роли как активной»?
Назначьте роль администратора облачных приложений, например вот так
@user2250152 user2250152, я являюсь владельцем подписки... что вы имеете в виду под ролью разработчика приложений?
@Rukmini У меня нет права назначать роли в арендаторе Entra ID (подписка — это то место, где я нахожусь в роли владельца. Я просто вижу, что мой пользователь находится в роли «Администратора облачного приложения». Есть ли способ увидеть мое членство в роли активно или соответствует критериям?
@g.pickardou Перейдите в раздел «Пользователи» -> «Выбрать пользователя» -> «Назначенные роли».
Давайте продолжим обсуждение в чате.
@Rukimi, спасибо, теперь все работает, после того как я получил роль глобального администратора. @user2250152, если у меня будет время с админом, мы намерены попробовать, достаточно ли роли разработчика приложений или нет.
@g.pickardou, вы назначили пользователю роль глобального администратора для выполнения этого действия?
Да, после этого New-MgServicePrincipal -AppId "1fd5118e-2576-4263-8130-9503064c837a" прошел успешно, и после этого URL-адрес согласия не выдал ошибку, поэтому согласие можно было дать успешно.
Ответы 1
Я назначил пользователю роль владельца, как показано ниже:
Назначена роль администратора облачного приложения как имеющая право:
Теперь, когда я попытался создать субъекта службы, я получил ту же ошибку, что и ниже:
Connect-MgGraph -Scopes Application.ReadWrite.All
New-MgServicePrincipal -AppId "AppID"
Следовательно, чтобы устранить ошибку, я назначил пользователю роль администратора приложений Active Cloud:
Теперь я могу успешно создать принципала службы:
Назначьте роль глобального администратора, чтобы внести изменения в роль, или, если проблема не устранена, назначьте пользователю роль разработчика приложений, как предложено @user2250152.
Для создания субъекта-службы требуется только роль администратора приложения, администратора облачного приложения или разработчика приложения.
Для однотенантного приложения, если вы являетесь владельцем вспомогательного приложения, вам необходима роль разработчика приложения.