New-AzureADMSRoleAssignment
En este artículo se proporcionan detalles de migración del comando New-AzureADMSRoleAssignment a PowerShell de Microsoft Graph.
Resumen
- Comando de Azure AD: New-AzureADMSRoleAssignment
- Módulo de Azure AD: AzureAD
- Comando de Microsoft Graph: New-MgRoleManagementDirectoryRoleAssignment (ejemplos de la comunidad)
- Módulo graph: Microsoft.Graph.Identity.Governance
- Punto de conexión de Graph: POST /roleManagement/directory/roleAssignments
Permisos
Para el proveedor del directorio (Microsoft Entra ID)
| Tipo de permiso | Permisos (de menos a más privilegios) |
|---|---|
| Delegado (cuenta profesional o educativa). | RoleManagement.ReadWrite.Directory |
| Delegado (cuenta personal de Microsoft) | No compatible. |
| Application | RoleManagement.ReadWrite.Directory |
Para el proveedor de administración de derechos
| Tipo de permiso | Permisos (de menos a más privilegios) |
|---|---|
| Delegado (cuenta profesional o educativa). | EntitlementManagement.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No compatible. |
| Application | EntitlementManagement.ReadWrite.All |
Asignación de propiedades
| Nombre de Azure AD | Nombre de Microsoft Graph |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
Nota:
Puede especificar las siguientes propiedades al crear un unifiedRoleAssignment.
| Propiedad | Tipo | Descripción |
|---|---|---|
| appScopeId | String | Necesario. Identificador del ámbito específico de la aplicación cuando el ámbito de asignación es específico de la aplicación. El ámbito de una asignación determina el conjunto de recursos para los que se ha concedido acceso a la entidad de seguridad. Los ámbitos de la aplicación son ámbitos definidos y comprendidos solo por una aplicación de recursos. Para el proveedor de administración de derechos, use esta propiedad para especificar un catálogo, por ejemplo /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. Se debe especificar appScopeId o directoryScopeId . |
| directoryScopeId | String | Necesario. Identificador del objeto de directorio que representa el ámbito de la asignación. El ámbito de una asignación determina el conjunto de recursos para los que se ha concedido acceso a la entidad de seguridad. Los ámbitos de directorio son ámbitos compartidos almacenados en el directorio que comprenden varias aplicaciones, a diferencia de los ámbitos de aplicación definidos y comprendidos solo por una aplicación de recursos. Para el proveedor de directorios (Microsoft Entra ID), esta propiedad admite los siguientes formatos: / para el ámbito de todo el inquilino/administrativeUnits/{administrativeunit-ID} para definir el ámbito en una unidad administrativa/{application-objectID} para limitar el ámbito a una aplicación de recursosPara el proveedor de administración de derechos, / para el ámbito de todo el inquilino. Para definir el ámbito de un catálogo de paquetes de acceso, use la propiedad appScopeId . Se debe especificar appScopeId o directoryScopeId . |
| principalId | String | Necesario. Identificador de la entidad de seguridad a la que se concede la asignación. |
| roleDefinitionId | String | Identificador de unifiedRoleDefinition para el que está la asignación. Solo lectura. Admite $filter (eq, in). |