New-AzureADMSRoleAssignment

[アーティクル]
02/07/2024

この記事では、New-AzureADMSRoleAssignment コマンドから Microsoft Graph PowerShell への移行の詳細について説明します。

まとめ

Azure AD コマンド: New-AzureADMSRoleAssignment
Azure AD モジュール: AzureAD
Microsoft Graph コマンド: New-MgRoleManagementDirectoryRoleAssignment (コミュニティの例)
Graph モジュール: Microsoft.Graph.Identity.Governance
Graph エンドポイント: POST /roleManagement/directory/roleAssignments

アクセス許可

ディレクトリ (Microsoft Entra ID) プロバイダーの場合

アクセス許可の種類	アクセス許可 (最小権限から最大権限まで)
委任済み (職場または学校アカウント)	RoleManagement.ReadWrite.Directory
委任済み (個人用 Microsoft アカウント)	サポートされていません。
Application	RoleManagement.ReadWrite.Directory

エンタイトルメント管理プロバイダーの場合

アクセス許可の種類	アクセス許可 (最小権限から最大権限まで)
委任済み (職場または学校アカウント)	EntitlementManagement.ReadWrite.All
委任済み (個人用 Microsoft アカウント)	サポートされていません。
Application	EntitlementManagement.ReadWrite.All

プロパティマッピング

Azure AD 名	Microsoft Graph 名
DirectoryScopeId	DirectoryScopeId
PrincipalId	PrincipalId
RoleDefinitionId	RoleDefinitionId

注意

unifiedRoleAssignment を作成するときに、次のプロパティを指定できます。

プロパティ	Type	説明
appScopeId	String	必須。割り当てスコープがアプリ固有の場合のアプリ固有のスコープの識別子。割り当てのスコープによって、プリンシパルにアクセス権が付与されているリソースのセットが決まります。アプリスコープは、リソースアプリケーションによってのみ定義および理解されるスコープです。エンタイトルメント管理プロバイダーの場合は、このプロパティを使用してカタログ (例: `/AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997`) を指定します。 appScopeId または directoryScopeId を指定する必要があります。
directoryScopeId	String	必須。割り当てのスコープを表すディレクトリオブジェクトの識別子。割り当てのスコープによって、プリンシパルにアクセス権が付与されているリソースのセットが決まります。ディレクトリスコープは、リソースアプリケーションのみが定義して理解するアプリスコープとは異なり、複数のアプリケーションで認識されるディレクトリに格納されている共有スコープです。ディレクトリ (Microsoft Entra ID) プロバイダーの場合、このプロパティは次の形式をサポートします。 `/` テナント全体のスコープの場合 `/administrativeUnits/{administrativeunit-ID}` 管理単位にスコープを設定する `/{application-objectID}` リソースアプリケーションにスコープを設定するエンタイトルメント管理プロバイダーの場合は、 `/` テナント全体のスコープです。アクセスパッケージカタログのスコープを設定するには、 appScopeId プロパティを使用します。 appScopeId または directoryScopeId を指定する必要があります。
principalId	String	必須。割り当てが付与されるプリンシパルの識別子。
roleDefinitionId	文字列	割り当てが対象の unifiedRoleDefinition の識別子。読み取り専用です。 (`eq`、`in`) をサポートします`$filter`。