Remove-AzureRMAdGroupを実行するために必要な権限
SPNを使用してAzureADグループを削除していますが(Remove-AzureRMAdGroup)、エラーが発生しますinsufficient privileges。
SPNに次の権限を付与しました。
Active Directoryグラフ(2)-アプリケーションすべてのアプリケーションの読み取りと書き込み-アプリケーションディレクトリデータの読み取りと書き込み
Microsoft Graph(1)-アプリケーションの読み取りおよび書き込みグループ
ここで明らかに欠落している権限は何ですか? SPNにAzureADロールUserAccountAdminを割り当てると機能しますが、最小限の特権アクセスを使用することをお勧めします。
現在、ディレクトリデータの読み取りと書き込みのアクセス許可には、グループの削除などの削除を行う機能は含まれていません。必要なのはMicrosoft.directory/groups/delete許可。
ただし、現在、Azure ActiveDirectoryのカスタムロールはサポートされていません。事前定義された管理者ロールのみ。 SPNにAzureADロールを付与する必要がありますUser administratorグループ削除権限を含む役割。
ここ はステップです。