New-AzureADServiceAppRoleAssignment
Attribue un rôle d’application à un utilisateur, un groupe ou un autre principal de service.
Syntaxe
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Description
L’applet de commande New-AzureADServiceAppRoleAssignment attribue un rôle d’application d’un principal de service de ressources à un utilisateur, un groupe ou un autre principal de service. Les rôles d’application attribués aux principaux de service sont également appelés autorisations d’application.
Notes
Le comportement décrit ici s’applique quand Connect-AzureAD a été appelé sans aucun paramètre ou à l’aide d’une identité d’application appartenant à Microsoft. Consultez l’exemple 4 pour en savoir plus sur la différence lors de la connexion à l’aide d’une inscription d’application ou d’une identité de service appartenant au client.
Exemples
Exemple 1 : Attribuer un rôle d’application à un autre principal de service
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdDans cet exemple, un principal de service client se voit attribuer un rôle d’application (autorisation d’application) défini par un principal de service de ressources (par exemple, une API) :
-
ObjectId: ObjectId du principal du service de ressources (par exemple, une API). -
ResourceId: ObjectId du principal du service de ressources (par exemple, une API). -
Id: ID du rôle d’application (défini sur le principal du service de ressources) à affecter au principal du service client. Si aucun rôle d’application n’a été défini sur l’application de ressources, vous pouvez utiliser00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId du principal de service client auquel vous attribuez le rôle d’application.
Notes
Cet exemple s’applique lorsque Connect-AzureAD a été appelé sans aucun paramètre. Consultez l’exemple 4 pour voir comment cette applet de commande est utilisée lors de la connexion à l’aide d’une inscription d’application ou d’une identité de service appartenant au client.
Exemple 2 : Attribuer un rôle d’application à un utilisateur
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdDans cet exemple, un utilisateur se voit attribuer un rôle d’application défini par une application de ressources :
-
ObjectId: ObjectId du principal de service de l’application. -
ResourceId: ObjectId du principal de service de l’application. -
Id: ID du rôle d’application (défini sur le principal de service de l’application) à attribuer à l’utilisateur. Si aucun rôle d’application n’a été défini pour l’application de ressources, vous pouvez utiliser00000000-0000-0000-0000-000000000000pour indiquer que l’application est affectée à l’utilisateur. -
PrincipalId: ObjectId de l’utilisateur auquel vous attribuez le rôle d’application.
Notes
Cet exemple s’applique lorsque Connect-AzureAD a été appelé sans aucun paramètre. Consultez l’exemple 4 pour voir comment cette applet de commande est utilisée lors de la connexion à l’aide d’une inscription d’application ou d’une identité de service appartenant au client.
Exemple 3 : Attribuer un rôle d’application à un groupe
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdDans cet exemple, un groupe se voit attribuer un rôle d’application défini par une application de ressources. Tous les utilisateurs qui sont membres directs du groupe affecté sont considérés comme disposant du rôle d’application :
-
ObjectId: ObjectId du principal de service de l’application. -
ResourceId: ObjectId du principal de service de l’application. -
Id: ID du rôle d’application (défini sur le principal de service de l’application) à affecter au groupe. Si aucun rôle d’application n’a été défini sur l’application de ressources, vous pouvez utiliser00000000-0000-0000-0000-000000000000pour indiquer que l’application est affectée au groupe. -
PrincipalId: ObjectId du groupe auquel vous attribuez le rôle d’application.
Notes
Cet exemple s’applique lorsque Connect-AzureAD a été appelé sans aucun paramètre. Consultez l’exemple 4 pour voir comment cette applet de commande est utilisée lors de la connexion à l’aide d’une inscription d’application ou d’une identité de service appartenant au client.
Exemple 4 : Quand vous êtes connecté à l’aide d’une identité d’application ou de service appartenant au client
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdLe comportement de cette applet de commande change lorsqu’il est connecté au module Azure AD PowerShell à l’aide d’une inscription d’application ou d’une identité de service appartenant au client, notamment :
- Lors de la connexion en tant que principal de service, et
- Lors de l’utilisation du
AadAccessTokenparamètre avec un jeton d’accès obtenu pour une inscription d’application ou une identité de service appartenant au client.
Dans ces circonstances, cette applet de commande est utilisée uniquement pour attribuer un rôle d’application à un autre principal de service, identifié par les ObjectId paramètres et PrincipalId :
-
ObjectId: ObjectId du principal de service client auquel vous attribuez le rôle d’application. -
ResourceId: ObjectId du principal du service de ressources (par exemple, une API). -
Id: ID du rôle d’application (défini sur le principal du service de ressources) à affecter au principal du service client. Si aucun rôle d’application n’a été défini sur l’application de ressources, vous pouvez utiliser00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId du principal de service client auquel vous attribuez le rôle d’application.
Lorsque vous êtes connecté à l’aide d’une identité d’application ou de service appartenant au client, utilisez New-AzureADUserAppRoleAssignment et New-AzureADGroupAppRoleAssignment pour créer des attributions de rôles d’application pour un utilisateur et des groupes, respectivement.
Paramètres
-Id
Spécifie l’ID du rôle d’application (défini sur le principal du service de ressources) à attribuer. Si aucun rôle d’application n’a été défini sur l’application de ressources, vous pouvez utiliser 00000000-0000-0000-0000-000000000000 pour indiquer l’affectation de l’application ou du service de ressource, sans spécifier de rôle d’application.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-InformationAction
Spécifie la façon dont cette applet de commande répond à un événement d’informations. Les valeurs valides pour ce paramètre sont :
- Continuer
- Ignorer
- Inquire
- SilentlyContinue
- Arrêter
- Interrompre
| Type: | ActionPreference |
| Alias: | infa |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-InformationVariable
Spécifie une variable d’information.
| Type: | String |
| Alias: | iv |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-ObjectId
Spécifie l’ObjectId du principal du service de ressources (par exemple, une application ou une API) qui va être affecté à un utilisateur, un groupe ou un autre principal de service.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
-PrincipalId
Spécifie l’ObjectId de l’utilisateur, du groupe ou d’un autre principal de service auquel le rôle d’application est attribué.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-ResourceId
Spécifie l’ObjectId du principal du service de ressources (par exemple, une application ou une API) qui va être affecté à un utilisateur, un groupe ou un autre principal de service.
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
Notes
Consultez le guide de migration pour New-AzureADServiceAppRoleAssignment vers Microsoft Graph PowerShell.