Я вхожу в группу соадминистраторов корпоративной подписки Azure, но не являюсь глобальным администратором Azure Active Directory по умолчанию.
На классическом портале Azure у меня есть права создавать собственный каталог Azure Active Directory. Я также могу создать приложение / субъект-службу для этого AAD и соответствующим образом настроить его.
Однако, когда я пытаюсь назначить приложение роли, я не могу найти приложение при поиске. Вероятно, потому что это часть только что созданного AAD, а не связанного с подпиской Azure Enterprise.
Есть ли способ обойти это, или мне нужно быть глобальным администратором и добавить приложение в AAD по умолчанию, подключенный к подписке Azure Enterprise?
Вы можете получить разрешения на добавление приложений в каталог, администратором которого вы не являетесь, а затем вы сможете создать своего субъекта-службы в этом каталоге. Если вы делаете это с помощью сценария, убедитесь, что вы указали идентификатор клиента каталога, в котором вы хотите создать приложение, при Login-AzureRMAccount.
Самый простой способ изменить каталог, в котором хранится учетная запись Azure, - это оформить заявку в службу поддержки.
Если этого не сделать, вы должны быть администратором учетной записи в подписке и глобальным администратором нового клиента, чтобы переключиться на портале.