Наименьшая привилегия для принципала службы для создания другого принципала службы

Question

Я попытался найти некоторую информацию о том, какое разрешение приложения необходимо для директора службы для создания другого приложения AAD-приложений/службы, но не нашел настройки с наименьшими привилегиями.

В настоящее время я назначаю SP некоторым каталогам, таким как Directory Writers, которые, вероятно, много?

Кто-нибудь знает, какое приложение разрешено SP для создания другого SP? Или SP требует каталогов?

Answer 1

Если ваше приложение создает приложения, а затем создает принципы для им, то Application.ReadWrite.OwnedBy разрешение приложения на Azure AD График может сделать это.

Это не позволяет приложению создавать службы принципалов для других приложений хотя. Это требует довольно больших разрешений приложений, как вы заметили.