New-AzRoleAssignment

Module:

Az.Resources

Wijst de opgegeven RBAC-rol toe aan de opgegeven principal, op het opgegeven bereik.

De cmdlet kan onderstaande Microsoft Graph API aanroepen op basis van invoerparameters:

• GET /users/{id}
• GET /servicePrincipals/{id}
• GET /groups/{id}
• GET /directoryObjects/{id}

Houd er rekening mee dat deze cmdlet als uitvoer wordt gemarkeerd ObjectType Unknown als het object van de roltoewijzing niet wordt gevonden of als het huidige account onvoldoende bevoegdheden heeft om het objecttype op te halen.

Syntaxis

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

Gebruik de opdracht New-AzRoleAssignment om toegang te verlenen. Toegang wordt verleend door de juiste RBAC-rol aan hen toe te wijzen aan het juiste bereik. Als u toegang wilt verlenen tot het hele abonnement, wijst u een rol toe aan het abonnementsbereik. Als u toegang wilt verlenen tot een specifieke resourcegroep binnen een abonnement, wijst u een rol toe aan het bereik van de resourcegroep. Het onderwerp van de opdracht moet worden opgegeven. Als u een gebruiker wilt opgeven, gebruikt u de parameters SignInName of Microsoft Entra ObjectId. Als u een beveiligingsgroep wilt opgeven, gebruikt u de parameter Microsoft Entra ObjectId. En als u een Microsoft Entra-toepassing wilt opgeven, gebruikt u ApplicationId- of ObjectId-parameters. De rol die wordt toegewezen, moet worden opgegeven met behulp van de parameter RoleDefinitionName. Het bereik waarop toegang wordt verleend, kan worden opgegeven. Het is standaard ingesteld op het geselecteerde abonnement. Het bereik van de toewijzing kan worden opgegeven met behulp van een van de volgende parametercombinaties a. Bereik: dit is het volledig gekwalificeerde bereik dat begint met /subscriptions/<subscriptionId> b. ResourceGroupName: om toegang te verlenen tot de opgegeven resourcegroep. c. ResourceName, ResourceType, ResourceGroupName en (optioneel) ParentResource: als u een bepaalde resource binnen een resourcegroep wilt opgeven om toegang te verlenen.

Voorbeelden

Voorbeeld 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Rol lezer toegang verlenen tot een gebruiker binnen een resourcegroepbereik, waarbij de roltoewijzing beschikbaar is voor delegering

Voorbeeld 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Toegang verlenen tot een beveiligingsgroep

Voorbeeld 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Toegang verlenen aan een gebruiker op een resource (website)

Voorbeeld 4

New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Toegang verlenen aan een groep op een geneste resource (subnet)

Voorbeeld 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Lezer toegang verlenen tot een service-principal

Parameters

-AllowDelegation

De delegatievlag tijdens het maken van een roltoewijzing.

Type:	SwitchParameter
Position:	Named
Default value:	False
Vereist:	False
Pijplijninvoer accepteren:	False
Jokertekens accepteren:	False

-ApplicationId

De toepassings-id van de ServicePrincipal

Type:	String
Aliassen:	SPN, ServicePrincipalName
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-Condition

Voorwaarde die moet worden toegepast op RoleAssignment.

Type:	String
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ConditionVersion

Versie van de voorwaarde.

Type:	String
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-DefaultProfile

De referenties, het account, de tenant en het abonnement dat wordt gebruikt voor communicatie met Azure

Type:	IAzureContextContainer
Aliassen:	AzContext, AzureRmContext, AzureCredential
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	False
Jokertekens accepteren:	False

-Description

Korte beschrijving van de roltoewijzing.

Type:	String
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-InputFile

Pad naar json voor roltoewijzing

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ObjectId

Microsoft Entra Objectid van de gebruiker, groep of service-principal.

Type:	String
Aliassen:	Id, PrincipalId
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ObjectType

Moet worden gebruikt met ObjectId. Hiermee geeft u het type van het asignee-object

Type:	String
Aliassen:	PrincipalType
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ParentResource

De bovenliggende resource in de hiërarchie (van de resource die is opgegeven met de parameter ResourceName). Mag alleen worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en ResourceName om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.

Type:	String
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ResourceGroupName

De naam van de resourcegroep. Hiermee maakt u een toewijzing die van kracht is op de opgegeven resourcegroep. Wanneer de opdracht wordt gebruikt in combinatie met ResourceName, ResourceType en (optioneel)ParentResource-parameters, wordt een hiërarchisch bereik samengesteld in de vorm van een relatieve URI die een resource identificeert.

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ResourceName

De resourcenaam. Voor bijvoorbeeld storageaccountprod. Mag alleen worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en (optioneel)ParentResource om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-ResourceType

Het type van de resource. Voor bijvoorbeeld Microsoft.Network/virtualNetworks. Mag alleen worden gebruikt in combinatie met ResourceGroupName, ResourceName en (optioneel)ParentResource-parameters om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-RoleDefinitionId

Id van de RBAC-rol die moet worden toegewezen aan de principal.

Type:	Guid
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-RoleDefinitionName

Naam van de RBAC-rol die moet worden toegewezen aan de principal, d.w. Lezer, Inzender, Virtual Network Administrator, enzovoort.

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-Scope

Het bereik van de roltoewijzing. In de indeling van relatieve URI. Bijvoorbeeld '/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG'. Als dit niet is opgegeven, maakt u de roltoewijzing op abonnementsniveau. Indien opgegeven, moet deze beginnen met '/subscriptions/{id}'.

Type:	String
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-SignInName

Het e-mailadres of de principal-naam van de gebruiker.

Type:	String
Aliassen:	Email, UserPrincipalName
Position:	Named
Default value:	None
Vereist:	True
Pijplijninvoer accepteren:	True
Jokertekens accepteren:	False

-SkipClientSideScopeValidation

Als u dit hebt opgegeven, slaat u de validatie van het bereik aan de clientzijde over.

Type:	SwitchParameter
Position:	Named
Default value:	None
Vereist:	False
Pijplijninvoer accepteren:	False
Jokertekens accepteren:	False

Invoerwaarden

String

Guid

Uitvoerwaarden

PSRoleAssignment

Notities

Trefwoorden: azure, azurerm, arm, resource, beheer, manager, resource, groep, sjabloon, implementatie

Verwante koppelingen

• Get-AzRoleAssignment
• Remove-AzRoleAssignment
• Get-AzRoleDefinition