New-AzureADServiceAppRoleAssignment
Tilldelar en approll till en användare, en grupp eller ett annat huvudnamn för tjänsten.
Syntax
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Description
Cmdleten New-AzureADServiceAppRoleAssignment tilldelar en approll från ett resurstjänsthuvudnamn till en användare, en grupp eller ett annat huvudnamn för tjänsten. Approller som tilldelats tjänstens huvudnamn kallas även programbehörigheter.
Anteckning
Beteendet som beskrivs här gäller när Connect-AzureAD
anropades utan parametrar eller med hjälp av en Microsoft-ägd programidentitet. Se exempel 4 för att lära dig mer om skillnaden när du är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel
Exempel 1: Tilldela en approll till ett annat huvudnamn för tjänsten
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
I det här exemplet tilldelas ett klienttjänsthuvudnamn en approll (programbehörighet) som definieras av ett resurstjänsthuvudnamn (till exempel ett API):
ObjectId
: ObjectId för resurstjänstens huvudnamn (till exempel ett API).ResourceId
: ObjectId för resurstjänstens huvudnamn (till exempel ett API).Id
: ID:t för approllen (definierat i resurstjänstens huvudnamn) som ska tilldelas klienttjänstens huvudnamn. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD
anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när den är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 2: Tilldela en approll till en användare
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
I det här exemplet tilldelas en användare en approll som definierats av en resursapp:
ObjectId
: ObjectId för appens tjänsthuvudnamn.ResourceId
: ObjectId för appens tjänsthuvudnamn.Id
: ID:t för approllen (definierat i appens tjänsthuvudnamn) som användaren ska tilldelas. Om inga approller har definierats för resursappen kan du använda00000000-0000-0000-0000-000000000000
för att ange att appen har tilldelats användaren.PrincipalId
: ObjectId för den användare som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD
anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när den är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 3: Tilldela en approll till en grupp
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
I det här exemplet tilldelas en grupp en approll som definieras av en resursapp. Alla användare som är direkt medlem i den tilldelade gruppen anses vara tilldelade approllen:
ObjectId
: ObjectId för appens tjänsthuvudnamn.ResourceId
: ObjectId för appens tjänsthuvudnamn.Id
: ID:t för approllen (definierat i appens tjänsthuvudnamn) som ska tilldelas till gruppen. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000
för att ange att appen har tilldelats till gruppen.PrincipalId
: ObjectId för den grupp som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD
anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när den är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 4: När du är ansluten med en kundägd app eller tjänstidentitet
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
Den här cmdletens beteende ändras när den är ansluten till Azure AD PowerShell-modulen med hjälp av en kundägd appregistrering eller tjänstidentitet, inklusive:
- När du ansluter som tjänstens huvudnamn och
- När du använder parametern
AadAccessToken
med en åtkomsttoken som hämtats för en kundägd appregistrering eller tjänstidentitet.
Under dessa omständigheter används denna cmdlet endast för att tilldela en approll till ett annat huvudnamn för tjänsten, som identifieras av parametrarna ObjectId
och PrincipalId
:
ObjectId
: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till.ResourceId
: ObjectId för resurstjänstens huvudnamn (till exempel ett API).Id
: ID:t för approllen (definierat i resurstjänstens huvudnamn) som ska tilldelas klienttjänstens huvudnamn. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000
.PrincipalId
: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till.
När du ansluter med en kundägd app eller tjänstidentitet använder du New-AzureADUserAppRoleAssignment och New-AzureADGroupAppRoleAssignment för att skapa approlltilldelningar för en användare respektive grupper.
Parametrar
-Id
Anger ID:t för approllen (definierat i resurstjänstens huvudnamn) som ska tilldelas. Om inga approller har definierats i resursappen kan du använda 00000000-0000-0000-0000-000000000000
för att ange tilldelning av resursappen eller -tjänsten, utan att ange en approll.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationAction
Anger hur den här cmdleten svarar på en informationshändelse. De acceptabla värdena för den här parametern är:
- Fortsätt
- Ignorera
- Fråga
- SilentlyContinue
- Stoppa
- Suspend
Type: | ActionPreference |
Aliases: | infa |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-InformationVariable
Anger en informationsvariabel.
Type: | String |
Aliases: | iv |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ObjectId
Anger ObjectId för resurstjänstens huvudnamn (till exempel en app eller ett API) som ska tilldelas till en användare, en grupp eller ett annat huvudnamn för tjänsten.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-PrincipalId
Anger ObjectId för användaren, gruppen eller andra tjänstens huvudnamn som approllen tilldelas till.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ResourceId
Anger ObjectId för resurstjänstens huvudnamn (till exempel en app eller ett API) som ska tilldelas till en användare, en grupp eller ett annat huvudnamn för tjänsten.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Kommentarer
Se migreringsguiden för New-AzureADServiceAppRoleAssignment till Microsoft Graph PowerShell.
Relaterade länkar
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för