New-AzureADMSRoleAssignment
В этой статье содержатся сведения о миграции из команды New-AzureADMSRoleAssignment в Microsoft Graph PowerShell.
Сводка
- Команда Azure AD: New-AzureADMSRoleAssignment
- Модуль Azure AD: AzureAD
- Команда Microsoft Graph: New-MgRoleManagementDirectoryRoleAssignment (примеры сообщества)
- Модуль Graph: Microsoft.Graph.Identity.Governance
- Конечная точка Graph: POST /roleManagement/directory/roleAssignments
Разрешения
Для поставщика каталога (Microsoft Entra ID)
| Тип разрешения | Разрешения (от минимальных к самым привилегированным) |
|---|---|
| Делегированное (рабочая или учебная учетная запись) | RoleManagement.ReadWrite.Directory |
| Делегированное (личная учетная запись Майкрософт) | Не поддерживается. |
| Приложение | RoleManagement.ReadWrite.Directory |
Для поставщика управления правами
| Тип разрешения | Разрешения (от минимальных к самым привилегированным) |
|---|---|
| Делегированное (рабочая или учебная учетная запись) | EntitlementManagement.ReadWrite.All |
| Делегированное (личная учетная запись Майкрософт) | Не поддерживается. |
| Приложение | EntitlementManagement.ReadWrite.All |
Сопоставление свойств
| Имя Azure AD | Имя Microsoft Graph |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
Примечание
При создании unifiedRoleAssignment можно указать следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| appScopeId | Строковый | Обязательный элемент. Идентификатор конкретного приложения область, когда область назначения зависит от приложения. Область назначения определяет набор ресурсов, к которым субъекту предоставлен доступ. Области приложения — это области, которые определяются и понимаются только приложением ресурсов. Для поставщика управления правами используйте это свойство, чтобы указать каталог, например /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. Необходимо указать appScopeId или directoryScopeId . |
| directoryScopeId | Строковый | Обязательный элемент. Идентификатор объекта каталога, представляющего область назначения. Область назначения определяет набор ресурсов, к которым субъекту предоставлен доступ. Области каталога — это общие области, хранящиеся в каталоге, которые понимаются несколькими приложениями, в отличие от областей приложений, которые определяются и понимаются только приложением ресурсов. Для поставщика каталога (Microsoft Entra ID) это свойство поддерживает следующие форматы: /для область на уровне клиента/administrativeUnits/{administrativeunit-ID}для область в административную единицу/{application-objectID}для область в приложение ресурсовДля поставщика / управления правами для область на уровне клиента. Чтобы область к каталогу пакетов для доступа, используйте свойство appScopeId. Необходимо указать appScopeId или directoryScopeId . |
| principalId | Строковый | Обязательный элемент. Идентификатор субъекта, которому предоставляется назначение. |
| roleDefinitionId | Строка | Идентификатор unifiedRoleDefinition, для который предназначено назначение. Только для чтения. Поддерживает $filter (eq, in). |