New-AzureADServiceAppRoleAssignment
Hiermee wijst u een app-rol toe aan een gebruiker, een groep of een andere service-principal.
Syntaxis
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Description
Met de cmdlet New-AzureADServiceAppRoleAssignment wordt een app-rol van een resourceservice-principal toegewezen aan een gebruiker, een groep of een andere service-principal. App-rollen die zijn toegewezen aan service-principals, worden ook wel toepassingsmachtigingen genoemd.
Notitie
Het gedrag dat hier wordt beschreven, is van toepassing wanneer Connect-AzureAD
is aangeroepen zonder parameters of wanneer een toepassings-id in microsoft-eigendom wordt gebruikt. Zie voorbeeld 4 voor meer informatie over het verschil wanneer u verbinding maakt met behulp van een app-registratie of service-id die eigendom is van de klant.
Voorbeelden
Voorbeeld 1: een app-rol toewijzen aan een andere service-principal
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
In dit voorbeeld wordt aan een clientservice-principal een app-rol (toepassingsmachtiging) toegewezen die is gedefinieerd door een resourceservice-principal (bijvoorbeeld een API):
-
ObjectId
: De ObjectId van de service-principal van de resource (bijvoorbeeld een API). -
ResourceId
: De ObjectId van de service-principal van de resource (bijvoorbeeld een API). -
Id
: De id van de app-rol (gedefinieerd in de resourceservice-principal) die moet worden toegewezen aan de clientservice-principal. Als er geen app-rollen zijn gedefinieerd voor de resource-app, kunt u gebruiken00000000-0000-0000-0000-000000000000
. -
PrincipalId
: De ObjectId van de clientservice-principal waaraan u de app-rol toewijst.
Notitie
Dit voorbeeld is van toepassing wanneer Connect-AzureAD
is aangeroepen zonder parameters. Zie voorbeeld 4 om te zien hoe deze cmdlet wordt gebruikt wanneer er verbinding wordt gemaakt met behulp van een app-registratie of service-id die eigendom is van de klant.
Voorbeeld 2: Een app-rol toewijzen aan een gebruiker
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
In dit voorbeeld krijgt een gebruiker een app-rol toegewezen die is gedefinieerd door een resource-app:
-
ObjectId
: De ObjectId van de service-principal van de app. -
ResourceId
: De ObjectId van de service-principal van de app. -
Id
: De id van de app-rol (gedefinieerd in de service-principal van de app) die aan de gebruiker moet worden toegewezen. Als er geen app-rollen zijn gedefinieerd voor de resource-app, kunt u gebruiken00000000-0000-0000-0000-000000000000
om aan te geven dat de app is toegewezen aan de gebruiker. -
PrincipalId
: De ObjectId van de gebruiker waaraan u de app-rol toewijst.
Notitie
Dit voorbeeld is van toepassing wanneer Connect-AzureAD
is aangeroepen zonder parameters. Zie voorbeeld 4 om te zien hoe deze cmdlet wordt gebruikt wanneer er verbinding wordt gemaakt met behulp van een app-registratie of service-id die eigendom is van de klant.
Voorbeeld 3: Een app-rol toewijzen aan een groep
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
In dit voorbeeld wordt aan een groep een app-rol toegewezen die is gedefinieerd door een resource-app. Aan alle gebruikers die direct lid zijn van de toegewezen groep, wordt de app-rol toegewezen:
-
ObjectId
: De ObjectId van de service-principal van de app. -
ResourceId
: De ObjectId van de service-principal van de app. -
Id
: De id van de app-rol (gedefinieerd in de service-principal van de app) die aan de groep moet worden toegewezen. Als er geen app-rollen zijn gedefinieerd voor de resource-app, kunt u gebruiken00000000-0000-0000-0000-000000000000
om aan te geven dat de app is toegewezen aan de groep. -
PrincipalId
: De ObjectId van de groep waaraan u de app-rol toewijst.
Notitie
Dit voorbeeld is van toepassing wanneer Connect-AzureAD
is aangeroepen zonder parameters. Zie voorbeeld 4 om te zien hoe deze cmdlet wordt gebruikt wanneer er verbinding wordt gemaakt met behulp van een app-registratie of service-id die eigendom is van de klant.
Voorbeeld 4: Bij verbinding met een app of service-id van de klant
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Het gedrag van deze cmdlet verandert wanneer er verbinding wordt gemaakt met de Azure AD PowerShell-module met behulp van een app-registratie of service-id die eigendom is van de klant, waaronder:
- Wanneer u verbinding maakt als een service-principal, en
- Wanneer u de
AadAccessToken
parameter gebruikt met een toegangstoken dat is verkregen voor een app-registratie of service-id die eigendom is van de klant.
Onder deze omstandigheden wordt deze cmdlet alleen gebruikt voor het toewijzen van een app-rol aan een andere service-principal, geïdentificeerd door de ObjectId
parameters en PrincipalId
:
-
ObjectId
: De ObjectId van de clientservice-principal waaraan u de app-rol toewijst. -
ResourceId
: De ObjectId van de service-principal van de resource (bijvoorbeeld een API). -
Id
: De id van de app-rol (gedefinieerd in de resourceservice-principal) die moet worden toegewezen aan de clientservice-principal. Als er geen app-rollen zijn gedefinieerd voor de resource-app, kunt u gebruiken00000000-0000-0000-0000-000000000000
. -
PrincipalId
: De ObjectId van de clientservice-principal waaraan u de app-rol toewijst.
Wanneer u verbinding maakt met een app of service-id van de klant, gebruikt u New-AzureADUserAppRoleAssignment en New-AzureADGroupAppRoleAssignment om app-roltoewijzingen te maken voor respectievelijk een gebruiker en groepen.
Parameters
-Id
Hiermee geeft u de id van de app-rol (gedefinieerd in de resourceservice-principal) toe te wijzen. Als er geen app-rollen zijn gedefinieerd voor de resource-app, kunt u gebruiken 00000000-0000-0000-0000-000000000000
om de toewijzing van de resource-app of service aan te geven, zonder een app-rol op te geven.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | True |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-InformationAction
Hiermee geeft u op hoe deze cmdlet reageert op een informatie-gebeurtenis. De aanvaardbare waarden voor deze parameter zijn:
- Doorgaan
- Negeren
- Informeren
- SilentlyContinue
- Stoppen
- Onderbreken
Type: | ActionPreference |
Aliassen: | infa |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-InformationVariable
Hiermee geeft u een informatievariabele op.
Type: | String |
Aliassen: | iv |
Position: | Named |
Default value: | None |
Vereist: | False |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-ObjectId
Hiermee geeft u de ObjectId van de service-principal van de resource (zoals een app of een API) die wordt toegewezen aan een gebruiker, een groep of een andere service-principal.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | True |
Pijplijninvoer accepteren: | True |
Jokertekens accepteren: | False |
-PrincipalId
Hiermee geeft u de ObjectId van de gebruiker, groep of andere service-principal waaraan de app-rol wordt toegewezen.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | True |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
-ResourceId
Hiermee geeft u de ObjectId van de service-principal van de resource (zoals een app of een API) die wordt toegewezen aan een gebruiker, een groep of een andere service-principal.
Type: | String |
Position: | Named |
Default value: | None |
Vereist: | True |
Pijplijninvoer accepteren: | False |
Jokertekens accepteren: | False |
Notities
Zie de migratiehandleiding voor New-AzureADServiceAppRoleAssignment voor Microsoft Graph PowerShell.