我的目标是能够使用源租户中的企业应用程序的服务主体以全局管理员的身份对目标租户进行身份验证/连接。
在源租户中,我添加了一个企业应用程序。我能够使用此 EA 服务主体Connect-AzAccount(在 Credential 参数中提供机密)成功连接到此租户。
Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $srcTenantId -Scope Process -ErrorAction Stop
在目标租户上,我使用全局管理员用户从源租户(MsGrap)邀请服务主体New-MgInvitation。
New-MgInvitation -InvitedUserType Member -Status Completed -InvitedUserDisplayName "Auto" -InvitedUserEmailAddress "$srcPrincipalObjectId@$srcTenantId" -InviteRedirectUrl "https://myapps.microsoft.com" -SendInvitationMessage:$false -ErrorAction Stop
然后我为其添加“全局管理员”角色。当我Connect-AzAccount使用源租户中的企业应用程序凭据在目标租户上执行操作时,出现错误:
Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $dstTenantId -Scope Process -ErrorAction Stop
警告:收到的访问令牌无效:至少应存在声明“puid”或“altsecid”或“oid”中的一个。如果您以应用程序身份访问,请确保在租户中正确创建了服务主体。
我错过了什么?