Доступ к нескольким клиентам в качестве глобального администратора с субъектом от одного клиента (PowerShell 7)

Моя цель здесь — иметь возможность использовать субъект-службу корпоративного приложения в исходном клиенте для аутентификации и подключения к целевым арендаторам в качестве глобального администратора.

В исходном клиенте я добавил корпоративное приложение. Я могу успешно подключиться к этому клиенту с помощью этого субъекта службы EA (указав секрет в параметре Credential).

Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $srcTenantId -Scope Process -ErrorAction Stop

В целевом клиенте я использую пользователя глобального администратора, чтобы пригласить субъекта-службу из исходного арендатора (MsGrap), используя.

New-MgInvitation -InvitedUserType Member -Status Completed -InvitedUserDisplayName "Auto" -InvitedUserEmailAddress "$srcPrincipalObjectId@$srcTenantId" -InviteRedirectUrl "https://myapps.microsoft.com" -SendInvitationMessage:$false -ErrorAction Stop

Затем я добавляю к нему роль «Глобального администратора». Когда я выступаюв целевом клиенте, использующем учетные данные для корпоративного приложения в исходном клиенте, я получаю ошибку:

Connect-AzAccount -ServicePrincipal -Credential $srcCredentials -Tenant $dstTenantId -Scope Process -ErrorAction Stop

ВНИМАНИЕ: Полученный токен доступа недействителен: должно присутствовать хотя бы одно из утверждений «puid», «altsecid» или «oid». Если вы осуществляете доступ как приложение, убедитесь, что в арендаторе правильно создан субъект-служба.

Что мне не хватает?