New-AzureADServiceAppRoleAssignment
Przypisuje rolę aplikacji do użytkownika, grupy lub innej jednostki usługi.
Składnia
Default (Domyślna)
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Opis
Polecenie cmdlet New-AzureADServiceAppRoleAssignment przypisuje rolę aplikacji z jednostki usługi zasobu do użytkownika, grupy lub innej jednostki usługi. Role aplikacji przypisane do jednostek usługi są również nazywane uprawnieniami aplikacji.
Uwaga / Notatka
Opisane tutaj zachowanie ma zastosowanie, gdy Connect-AzureAD zostało wywołane bez żadnych parametrów lub przy użyciu tożsamości aplikacji należącej do firmy Microsoft. Zobacz przykład 4 , aby dowiedzieć się więcej o różnicy w przypadku nawiązania połączenia przy użyciu rejestracji aplikacji należącej do klienta lub tożsamości usługi.
Przykłady
Przykład 1: Przypisywanie roli aplikacji do innej jednostki usługi
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
W tym przykładzie jednostka usługi klienta ma przypisaną rolę aplikacji (uprawnienie aplikacji) zdefiniowaną przez jednostkę usługi zasobów (na przykład interfejs API):
-
ObjectId: ObjectId jednostki usługi zasobu (na przykład interfejsu API). -
ResourceId: ObjectId jednostki usługi zasobu (na przykład interfejsu API). -
Id: Identyfikator roli aplikacji (zdefiniowanej w jednostce usługi zasobu), który ma zostać przypisany do jednostki usługi klienta. Jeśli w aplikacji zasobu nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId jednostki usługi klienta, do której jest przypisywana rola aplikacji.
Uwaga / Notatka
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów.
Zobacz przykład 4, aby zobaczyć, jak to polecenie cmdlet jest używane po nawiązaniu połączenia przy użyciu rejestracji aplikacji należącej do klienta lub tożsamości usługi.
Przykład 2: Przypisywanie roli aplikacji do użytkownika
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
W tym przykładzie użytkownikowi przypisana jest rola aplikacji zdefiniowana przez aplikację zasobu:
-
ObjectId: ObjectId jednostki usługi aplikacji. -
ResourceId: ObjectId jednostki usługi aplikacji. -
Id: identyfikator roli aplikacji (zdefiniowanej w jednostce usługi aplikacji), który ma zostać przypisany do użytkownika. Jeśli do aplikacji zasobu nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000przycisku do wskazania, że aplikacja jest przypisana do użytkownika. -
PrincipalId: ObjectId użytkownika, do którego przypisujesz rolę aplikacji.
Uwaga / Notatka
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów.
Zobacz przykład 4, aby zobaczyć, jak to polecenie cmdlet jest używane po nawiązaniu połączenia przy użyciu rejestracji aplikacji należącej do klienta lub tożsamości usługi.
Przykład 3: Przypisywanie roli aplikacji do grupy
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
W tym przykładzie grupa ma przypisaną rolę aplikacji zdefiniowaną przez aplikację zasobu. Wszyscy użytkownicy, którzy są bezpośrednimi członkami przypisanej grupy, są uznawani za przypisanych do roli aplikacji:
-
ObjectId: ObjectId jednostki usługi aplikacji. -
ResourceId: ObjectId jednostki usługi aplikacji. -
Id: Identyfikator roli aplikacji (zdefiniowanej w jednostce usługi aplikacji), który ma zostać przypisany do grupy. Jeśli w aplikacji zasobu nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000polecenia , aby wskazać, że aplikacja jest przypisana do grupy. -
PrincipalId: ObjectId grupy, do której przypisujesz rolę aplikacji.
Uwaga / Notatka
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów.
Zobacz przykład 4, aby zobaczyć, jak to polecenie cmdlet jest używane po nawiązaniu połączenia przy użyciu rejestracji aplikacji należącej do klienta lub tożsamości usługi.
Przykład 4: W przypadku nawiązania połączenia przy użyciu tożsamości aplikacji lub usługi należącej do klienta
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Zachowanie tego polecenia cmdlet zmienia się po nawiązaniu połączenia z modułem Azure AD PowerShell przy użyciu rejestracji aplikacji należącej do klienta lub tożsamości usługi, w tym:
- Podczas nawiązywania połączenia jako jednostka usługi i
- W przypadku korzystania
AadAccessTokenz parametru z tokenem dostępu uzyskanym dla rejestracji aplikacji należącej do klienta lub tożsamości usługi.
W takich okolicznościach to polecenie cmdlet jest używane tylko do przypisywania roli aplikacji do innej jednostki usługi, identyfikowanej przez ObjectId parametry i PrincipalId :
-
ObjectId: ObjectId jednostki usługi klienta, do której jest przypisywana rola aplikacji. -
ResourceId: ObjectId jednostki usługi zasobu (na przykład interfejsu API). -
Id: Identyfikator roli aplikacji (zdefiniowanej w jednostce usługi zasobu), który ma zostać przypisany do jednostki usługi klienta. Jeśli w aplikacji zasobu nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId jednostki usługi klienta, do której jest przypisywana rola aplikacji.
W przypadku nawiązania połączenia przy użyciu tożsamości aplikacji lub usługi należącej do klienta użyj New-AzureADUserAppRoleAssignment i New-AzureADGroupAppRoleAssignment , aby utworzyć przypisania ról aplikacji odpowiednio dla użytkownika i grup.
Parametry
-Id
Określa identyfikator roli aplikacji (zdefiniowanej w jednostce usługi zasobów) do przypisania. Jeśli w aplikacji zasobu nie zdefiniowano żadnych ról aplikacji, można użyć 00000000-0000-0000-0000-000000000000 polecenia do wskazania przypisania aplikacji lub usługi zasobu bez określania roli aplikacji.
Właściwości parametru
| Typ: | String |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | True |
| Wartość z potoku: | False |
| Wartość z potoku według nazwy właściwości: | False |
| Wartość z pozostałych argumentów: | False |
-InformationAction
Określa, jak to polecenie cmdlet reaguje na zdarzenie informacyjne. Dopuszczalne wartości tego parametru to:
- Kontynuuj
- Ignoruj
- Inquire
- Kontynuuj w ciszy
- Zatrzymaj
- Wstrzymaj
Właściwości parametru
| Typ: | ActionPreference |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
| Aliasy: | infa |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | False |
| Wartość z potoku: | False |
| Wartość z potoku według nazwy właściwości: | False |
| Wartość z pozostałych argumentów: | False |
-InformationVariable
Określa zmienną informacyjną.
Właściwości parametru
| Typ: | String |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
| Aliasy: | Iv |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | False |
| Wartość z potoku: | False |
| Wartość z potoku według nazwy właściwości: | False |
| Wartość z pozostałych argumentów: | False |
-ObjectId
Określa identyfikator ObjectId jednostki usługi zasobu (takiej jak aplikacja lub interfejs API), która ma zostać przypisana do użytkownika, grupy lub innej jednostki usługi.
Właściwości parametru
| Typ: | String |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | True |
| Wartość z potoku: | True |
| Wartość z potoku według nazwy właściwości: | True |
| Wartość z pozostałych argumentów: | False |
-PrincipalId
Określa identyfikator ObjectId użytkownika, grupy lub innej jednostki usługi, do której jest przypisywana rola aplikacji.
Właściwości parametru
| Typ: | String |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | True |
| Wartość z potoku: | False |
| Wartość z potoku według nazwy właściwości: | False |
| Wartość z pozostałych argumentów: | False |
-ResourceId
Określa identyfikator ObjectId jednostki usługi zasobu (takiej jak aplikacja lub interfejs API), która ma zostać przypisana do użytkownika, grupy lub innej jednostki usługi.
Właściwości parametru
| Typ: | String |
| Domyślna wartość: | None |
| Obsługuje symbole wieloznaczne: | False |
| DontShow: | False |
Zestawy parametrów
(All)
| Position: | Named |
| Obowiązkowy: | True |
| Wartość z potoku: | False |
| Wartość z potoku według nazwy właściwości: | False |
| Wartość z pozostałych argumentów: | False |
CommonParameters
To polecenie cmdlet obsługuje typowe parametry: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction i -WarningVariable. Aby uzyskać więcej informacji, zobacz about_CommonParameters.
Uwagi
Zapoznaj się z przewodnikiem migracji dla New-AzureADServiceAppRoleAssignment do programu Microsoft Graph PowerShell.