New-AzRoleAssignment
Weist dem angegebenen Dienstprinzipal die angegebene RBAC-Rolle im angegebenen Bereich zu.
Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Beachten Sie, dass dieses Cmdlet als Unknown
Ausgabe markiert ObjectType
wird, wenn das Objekt der Rollenzuweisung nicht gefunden wird oder das aktuelle Konto über unzureichende Berechtigungen zum Abrufen des Objekttyps verfügt.
Syntax
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Beschreibung
Verwenden Sie den Befehl "New-AzRoleAssignment", um Zugriff zu gewähren. Der Zugriff wird gewährt, indem ihm die entsprechende RBAC-Rolle im richtigen Bereich zugewiesen wird. Um zugriff auf das gesamte Abonnement zu gewähren, weisen Sie eine Rolle im Abonnementbereich zu. Um zugriff auf eine bestimmte Ressourcengruppe innerhalb eines Abonnements zu gewähren, weisen Sie eine Rolle im Ressourcengruppenbereich zu. Der Betreff der Zuordnung muss angegeben werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Um eine Microsoft Entra-Anwendung anzugeben, verwenden Sie applicationId- oder ObjectId-Parameter. Die zugewiesene Rolle muss mithilfe des RoleDefinitionName-Parameters angegeben werden. Der Bereich, in dem der Zugriff gewährt wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Bereich der Zuordnung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich beginnend mit /subscriptions/<subscriptionId> b. ResourceGroupName – um Zugriff auf die angegebene Ressourcengruppe zu gewähren. c. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – zum Angeben einer bestimmten Ressource innerhalb einer Ressourcengruppe, auf die Der Zugriff gewährt werden soll.
Beispiele
Beispiel 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Gewähren des Zugriffs der Leserrolle auf einen Benutzer in einem Ressourcengruppenbereich, wobei die Rollenzuweisung für die Delegierung verfügbar ist
Beispiel 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
Gewähren des Zugriffs auf eine Sicherheitsgruppe
Beispiel 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Gewähren des Zugriffs auf einen Benutzer an einer Ressource (Website)
Beispiel 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Gewähren des Zugriffs auf eine Gruppe in einer geschachtelten Ressource (Subnetz)
Beispiel 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Gewähren des Lesezugriffs auf einen Dienstprinzipal
Parameter
-AllowDelegation
Die Delegierungskennzeichnung beim Erstellen einer Rollenzuweisung.
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ApplicationId
Die Anwendungs-ID des ServicePrincipal
Type: | String |
Aliases: | SPN, ServicePrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Condition
Bedingung, die auf die RoleAssignment angewendet werden soll.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ConditionVersion
Version der Bedingung.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-DefaultProfile
Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Description
Kurze Beschreibung der Rollenzuweisung.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-InputFile
Pfad zur Rollenzuweisung json
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid des Benutzers, der Gruppe oder des Dienstprinzipals.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectType
Wird mit ObjectId verwendet. Gibt den Typ des asignee-Objekts an.
Type: | String |
Aliases: | PrincipalType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
Die übergeordnete Ressource in der Hierarchie(der ressource, die mithilfe des ResourceName-Parameters angegeben wurde). Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
Der Name der Ressourcengruppe. Erstellt eine Zuordnung, die bei der angegebenen Ressourcengruppe wirksam ist. Bei Verwendung in Verbindung mit den Parametern ResourceName, ResourceType und (optional)ParentResource erstellt der Befehl einen hierarchischen Bereich in Form eines relativen URI, der eine Ressource identifiziert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
Der Name der Ressource. Für z.B. storageaccountprod. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
ID der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Name der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss, z. B. Leser, Mitwirkender, Virtueller Netzwerkadministrator usw.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Falls nicht angegeben, wird die Rollenzuweisung auf Abonnementebene erstellt. Wenn angegeben, sollte sie mit "/subscriptions/{id}" beginnen.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Wenn angegeben, überspringen Sie die clientseitige Bereichsüberprüfung.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Eingaben
Ausgaben
Hinweise
Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment
Ähnliche Themen
Azure PowerShell
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für