サービス管理者が紺色のカスタムロールを作成するための十分な権限を取得する方法

Question

紺（RBAC）にCustom Roleを作成しようとしています。しかし、私がpowershellコマンドを実行すると、New-AzureRmRoleDefinitionここに私はそれを作成する権限がないというメッセージが表示されます。

> New-AzureRmRoleDefinition .\developer_access_rbac.json 


New-AzureRmRoleDefinition : AuthorizationFailed: The client 'admin@company.com' with object id 
'{guid}' does not have authorization to perform action 
'Microsoft.Authorization/roleDefinitions/write' over scope 
'/providers/Microsoft.Authorization/roleDefinitions/{guid}'. 
At line:1 char:1 
+ New-AzureRmRoleDefinition .\developer_access_rbac.json 
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    + CategoryInfo   : CloseError: (:) [New-AzureRmRoleDefinition], CloudException 
    + FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.NewAzureRoleDefinitionCommand 

私は、我々の組織の私達の管理者のいずれかから尋ね、彼は、アカウントadmin@company.comはすでにグローバル管理者であると言います。アクティブディレクトリのadmin@company.comがサービス管理者として表示されます。

私は、青空のこれらの許可レベルによって少し混乱しています。誰でも問題を解決するために、アカウントadmin@company.comに必要な許可を得る方法を私に説明することはできますか？

Answer 1

がhttps://azure.microsoft.com/en-us/documentation/articles/role-based-access-control-custom-roles/#custom-roles-access-controlから撮影：カスタムの役割を作成することができます

を？サブスクリプション、リソースグループ、およびリソースの所有者（およびユーザーアクセス管理者）は、これらのスコープで使用するカスタムロールを作成できます。役割を作成するユーザーは、役割のすべてのAssignableScopesでMicrosoft.Authorization/roleDefinition/write操作を実行できる必要があります。

カスタムロールを変更できるのは誰ですか？サブスクリプション、リソースグループ、およびリソースの所有者（およびユーザーアクセス管理者）は、これらのスコープ内のカスタムロールを変更できます。ユーザーは、カスタムロールのすべてのAssignableScopeでMicrosoft.Authorization/roleDefinition/write操作を実行できる必要があります。

カスタムロールを表示できるのは誰ですか？ Azure RBACのビルトインロールはすべて、割り当てに使用できるロールの表示を可能にします。スコープでMicrosoft.Authorization/roleDefinition/read操作を実行できるユーザーは、そのスコープでの割り当てに使用可能なRBACロールを表示できます。

Answer 2

私は実際にこの問題を遭遇し、誤解を招くようなエラーが発生しました。

割り当て可能な範囲をクリアしてから、もう一度追加する必要がありました。

$role.AssignableScopes.Clear() 
$role.AssignableScopes.Add("/subscriptions/12345678912345789123456789")