New-AzRoleAssignment
Weist dem angegebenen Dienstprinzipal die angegebene RBAC-Rolle im angegebenen Bereich zu.
Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Beachten Sie, dass dieses Cmdlet als Unknown
Ausgabe markiert ObjectType
wird, wenn das Objekt der Rollenzuweisung nicht gefunden wird oder das aktuelle Konto über unzureichende Berechtigungen zum Abrufen des Objekttyps verfügt.
Syntax
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Beschreibung
Verwenden Sie den Befehl "New-AzRoleAssignment", um Zugriff zu gewähren. Der Zugriff wird gewährt, indem ihm die entsprechende RBAC-Rolle im richtigen Bereich zugewiesen wird. Um zugriff auf das gesamte Abonnement zu gewähren, weisen Sie eine Rolle im Abonnementbereich zu. Um zugriff auf eine bestimmte Ressourcengruppe innerhalb eines Abonnements zu gewähren, weisen Sie eine Rolle im Ressourcengruppenbereich zu. Der Betreff der Zuordnung muss angegeben werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Um eine Microsoft Entra-Anwendung anzugeben, verwenden Sie applicationId- oder ObjectId-Parameter. Die zugewiesene Rolle muss mithilfe des RoleDefinitionName-Parameters angegeben werden. Der Bereich, in dem der Zugriff gewährt wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Bereich der Zuordnung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich beginnend mit /subscriptions/<subscriptionId> b. ResourceGroupName – um Zugriff auf die angegebene Ressourcengruppe zu gewähren. c. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – zum Angeben einer bestimmten Ressource innerhalb einer Ressourcengruppe, auf die Der Zugriff gewährt werden soll.
Beispiele
Beispiel 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Gewähren des Zugriffs der Leserrolle auf einen Benutzer in einem Ressourcengruppenbereich, wobei die Rollenzuweisung für die Delegierung verfügbar ist
Beispiel 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
Gewähren des Zugriffs auf eine Sicherheitsgruppe
Beispiel 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Gewähren des Zugriffs auf einen Benutzer an einer Ressource (Website)
Beispiel 4
New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Gewähren des Zugriffs auf eine Gruppe in einer geschachtelten Ressource (Subnetz)
Beispiel 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Gewähren des Lesezugriffs auf einen Dienstprinzipal
Parameter
-AllowDelegation
Die Delegierungskennzeichnung beim Erstellen einer Rollenzuweisung.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | False |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-ApplicationId
Die Anwendungs-ID des ServicePrincipal
Typ: | String |
Aliase: | SPN, ServicePrincipalName |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-Condition
Bedingung, die auf die RoleAssignment angewendet werden soll.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ConditionVersion
Version der Bedingung.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-DefaultProfile
Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure
Typ: | IAzureContextContainer |
Aliase: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
-Description
Kurze Beschreibung der Rollenzuweisung.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-InputFile
Pfad zur Rollenzuweisung json
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ObjectId
Microsoft Entra Objectid des Benutzers, der Gruppe oder des Dienstprinzipals.
Typ: | String |
Aliase: | Id, PrincipalId |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ObjectType
Wird mit ObjectId verwendet. Gibt den Typ des asignee-Objekts an.
Typ: | String |
Aliase: | PrincipalType |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ParentResource
Die übergeordnete Ressource in der Hierarchie(der ressource, die mithilfe des ResourceName-Parameters angegeben wurde). Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ResourceGroupName
Der Name der Ressourcengruppe. Erstellt eine Zuordnung, die bei der angegebenen Ressourcengruppe wirksam ist. Bei Verwendung in Verbindung mit den Parametern ResourceName, ResourceType und (optional)ParentResource erstellt der Befehl einen hierarchischen Bereich in Form eines relativen URI, der eine Ressource identifiziert.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ResourceName
Der Name der Ressource. Für z.B. storageaccountprod. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-ResourceType
Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-RoleDefinitionId
ID der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss.
Typ: | Guid |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-RoleDefinitionName
Name der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss, z. B. Leser, Mitwirkender, Virtueller Netzwerkadministrator usw.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-Scope
Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Falls nicht angegeben, wird die Rollenzuweisung auf Abonnementebene erstellt. Wenn angegeben, sollte sie mit "/subscriptions/{id}" beginnen.
Typ: | String |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-SignInName
Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers.
Typ: | String |
Aliase: | Email, UserPrincipalName |
Position: | Named |
Standardwert: | None |
Erforderlich: | True |
Pipelineeingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
-SkipClientSideScopeValidation
Wenn angegeben, überspringen Sie die clientseitige Bereichsüberprüfung.
Typ: | SwitchParameter |
Position: | Named |
Standardwert: | None |
Erforderlich: | False |
Pipelineeingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Eingaben
Ausgaben
Hinweise
Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment