无法使用 Azure 帐户所有者向应用程序授予管理员同意

问题描述 投票:0回答:2

我的环境快速总结:

我目前只有一个 Azure 主帐户,在这个父帐户下我配置了 1qty 个租户。我之前一直在租户级别使用 Azure AD 来管理用户和访问我的 .NET Core 应用程序,我的解决方案中的一些应用程序也在租户级别注册。

我所有的付费服务/订阅(例如存储/服务总线等)都已注册在我的主帐户下,所以过了一段时间,我决定将所有应用程序重新注册到主帐户中,以便我最终可以删除租户并将所有内容集中在主帐户下。

问题:

自从将一些应用程序重新注册到我的主要父帐户后,我无法授予这些应用程序的管理员访问权限,我认为问题在于我尝试执行此操作的用户帐户,即我已登录作为 Azure 帐户所有者进入我的主要父帐户。目前,我的主帐户的 AD 中没有配置任何其他用户帐户,我可以使用它们来完成设置。

以 Azure 帐户所有者身份登录显示某些选项呈灰色,例如,我尝试查看是否可以授予自己额外的角色,所以目前我相当困惑于知道如何授予以及需要授予什么角色使用我自己的用户帐户作为帐户所有者对我的应用程序进行管理员访问。

参考下面的内容来说明问题,我向其中一个注册应用程序添加了一些范围,该应用程序是一个 API 网关,我的客户端 Web 应用程序需要连接该网关才能访问后端微服务:

然后在客户端 Web 应用程序注册中,我在 API 权限菜单边栏选项卡下添加了范围之一,但如您所见,尚未授予访问权限:

因此,下一步是通过使用企业应用程序菜单导航到此客户端应用程序配置来授予管理员访问权限:

问题是我无法授予同意并获得以下信息:

我之前从未遇到过这个问题,因为应用程序是在租户级别注册的,但我不想再保留这个租户,只是想将我所有的应用程序注册转移到我的主父帐户中。

是否可以使用 azure 帐户所有者向我的应用程序授予管理员同意?如果是这样,我缺少什么角色/权限来执行此操作?我该如何提升自己才能做到这一点?

azure-active-directory azure-app-registration
2个回答
0
投票

我尝试在我的环境中重现相同的结果,并得到如下结果:

我为用户分配了

Owner
角色:

enter image description here

现在,我使用上述用户登录到 Azure 门户并创建了一个 Azure AD 应用程序,如下所示:

enter image description here

我创建了范围以授予管理员同意,如下所示:

enter image description here

现在,我添加了 API 权限,如下所示,但 授予管理员同意 是灰色的

enter image description here

我尝试使用以下 URL 授予管理员同意

https://login.microsoftonline.com/TenantID/adminconsent?client_id=ClientID

enter image description here

注意:要授予管理员同意,用户必须具有全局管理员角色或特权角色管理员角色。

要解决问题,请分配用户

Global Administrator
角色,如下所示:

enter image description here

添加角色后,我能够成功授予管理员同意 API 权限,如下所示:

enter image description here


0
投票

也遇到这个问题了。不过,我还有另一个帐户,那就是

Global Administrator
。因此,我用它登录了 https://admin.microsoft.com/Adminportal/Home#/users

经过一些测试,我发现当我为原始帐户分配

Grant admin consent for {TenantName}
角色时,
Application Administrator
按钮变得可点击。

所以,您不必是

Global Administrator
,但您仍然需要一个
Global Administrator
帐户。

© www.soinside.com 2019 - 2024. All rights reserved.