以单个租户主体的身份以全局管理员身份访问多个租户(PowerShell 7)

以单个租户主体的身份以全局管理员身份访问多个租户(PowerShell 7)

我的目标是能够使用源租户中的企业应用程序的服务主体以全局管理员的身份对目标租户进行身份验证/连接。

在源租户中,我添加了一个企业应用程序。我能够使用此 EA 服务主体Connect-AzAccount(在 Credential 参数中提供机密)成功连接到此租户。

Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $srcTenantId -Scope Process -ErrorAction Stop

在目标租户上,我使用全局管理员用户从源租户(MsGrap)邀请服务主体New-MgInvitation

New-MgInvitation -InvitedUserType Member -Status Completed -InvitedUserDisplayName "Auto" -InvitedUserEmailAddress "$srcPrincipalObjectId@$srcTenantId" -InviteRedirectUrl "https://myapps.microsoft.com" -SendInvitationMessage:$false -ErrorAction Stop

然后我为其添加“全局管理员”角色。当我Connect-AzAccount使用源租户中的企业应用程序凭据在目标租户上执行操作时,出现错误:

Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $dstTenantId -Scope Process -ErrorAction Stop

警告:收到的访问令牌无效:至少应存在声明“puid”或“altsecid”或“oid”中的一个。如果您以应用程序身份访问,请确保在租户中正确创建了服务主体。

我错过了什么?

相关内容