Moins de privilèges pour un service principal pour créer un autre service principal

Question

J'ai essayé de trouver des informations sur les autorisations d'application nécessaires pour qu'un service de maintenance crée une autre application/service principal AAD mais n'a pas trouvé la moindre configuration de privilège.

Actuellement, j'attribue au SP certains rôles de répertoire comme Directory Writers, ce qui est probablement beaucoup?

Est-ce que quelqu'un sait quel demande permission le SP doit créer un autre SP? Ou le SP a-t-il besoin de rôles de répertoire?

Answer 1

Si votre application crée des applications et crée des principaux pour les , l'autorisation d'application Application.ReadWrite.OwnedBy sur l'Azure AD graphique peut le faire.

Il ne permet pas l'application de créer des directeurs de service pour autres applications bien. Cela nécessite des autorisations d'applications assez importantes, comme vous l'avez remarqué.