一篇好文章可以在这里找到：https://blogs.msdn.microsoft.com/aaddevsup/2018/08/29/how-to-add-an-azure-ad-role-to-a-enterprise-application-service-principal/

代码如下：

# Fetch User Account Administrator role instance
$role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq 'User Account Administrator'}

# If role instance does not exist, instantiate it based on the role template
if ($role -eq $null) {
    # Instantiate an instance of the role template
    $roleTemplate = Get-AzureADDirectoryRoleTemplate | Where-Object {$_.displayName -eq 'User Account Administrator'}
    Enable-AzureADDirectoryRole -RoleTemplateId $roleTemplate.ObjectId

    # Fetch User Account Administrator role instance again
    $role = Get-AzureADDirectoryRole | Where-Object {$_.displayName -eq 'User Account Administrator'}
}

#Now that we have the object IDs for the AAD role, we will need to get both object IDs to add the role to the enterprise application. We can use the command below :
Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId $BeckeChB2Cs0v1GraphApiAdSPN.ObjectId

不幸的是，据我所知，在Linux上没有可以添加成员到Azure组织角色的库工作。在

目前，我们可以使用Azure CLI 2.0来管理Azure AD用户、应用程序、组和服务主体，但我们无法使用CLI 2.0向Azure组织角色添加成员。在

az role assignment create  assignee <my app id>   role <role id>

此命令az role assignment用于管理资源组角色。例如，我们希望授予用户所有者权限。我们可以在以下截图中通过Azure门户找到此角色：

关于组织角色，我们可以在这个官方的article中找到他们，比如计费管理员，合规管理员。与资源组权限不同。在

您可以将您的反馈发送到此link，您在该链接中共享的所有反馈都将由Microsoft工程团队监视和审阅。在

===========
更新：