有人能告诉我我们如何在Azure中自动创建管理组和订阅的正确方向吗？我使用服务主体进行身份验证，但它似乎在订阅范围内，我得到了错误

{
    "error": {
        "code": "AuthorizationFailed",
        "message": "The client '4f44082c-3317-42de-be67-bd0db31f9821' with object id '4f44082c-3317-42de-be67-bd0db31f9821' does not have authorization to perform action 'Microsoft.Management/managementGroups/read' over scope '/providers/Microsoft.Management'."
    }
}

因此，当我阅读MS文档时，似乎有Azure Cli模块和REST API来创建管理组和订阅。例如：https://docs.microsoft.com/en-us/rest/api/resources/managementgroups/createorupdate

对于RESTAPI，当我从上面的链接执行“Try It”时，我手动向azure进行身份验证，它可以工作

同样，如果我运行Azure Cli来列出或创建管理组，它似乎可以工作，但是，我必须手动使用“az login”

现在，我们正在尝试做的是使用“服务主体”进行身份验证的整个精简自动化。然而，服务主体似乎在订阅范围内？？？这是正确的方法吗

Thx