New-AzureADServiceAppRoleAssignment
Tilldelar en approll till en användare, en grupp eller ett annat huvudnamn för tjänsten.
Syntax
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Description
Cmdleten New-AzureADServiceAppRoleAssignment tilldelar en approll från ett resurstjänsthuvudnamn till en användare, en grupp eller ett annat huvudnamn för tjänsten. Approller som tilldelats tjänstens huvudnamn kallas även programbehörigheter.
Anteckning
Det beteende som beskrivs här gäller när Connect-AzureAD anropades utan några parametrar eller med hjälp av en Microsoft-ägd programidentitet. Se exempel 4 om du vill veta mer om skillnaden när du är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel
Exempel 1: Tilldela en approll till ett annat huvudnamn för tjänsten
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdI det här exemplet tilldelas klienttjänstens huvudnamn en approll (programbehörighet) som definieras av ett huvudnamn för resurstjänsten (till exempel ett API):
-
ObjectId: ObjectId för resurstjänstens huvudnamn (till exempel ett API). -
ResourceId: ObjectId för resurstjänstens huvudnamn (till exempel ett API). -
Id: ID:t för approllen (definierat i resurstjänstens huvudnamn) som ska tilldelas klienttjänstens huvudnamn. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när du är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 2: Tilldela en approll till en användare
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdI det här exemplet tilldelas en användare en approll som definieras av en resursapp:
-
ObjectId: ObjectId för appens tjänsthuvudnamn. -
ResourceId: ObjectId för appens tjänsthuvudnamn. -
Id: ID:t för approllen (definierat i appens tjänsthuvudnamn) som ska tilldelas användaren. Om inga approller har definierats för resursappen kan du använda00000000-0000-0000-0000-000000000000för att ange att appen har tilldelats användaren. -
PrincipalId: ObjectId för den användare som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när du är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 3: Tilldela en approll till en grupp
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdI det här exemplet tilldelas en grupp en approll som definieras av en resursapp. Alla användare som är direkt medlemmar i den tilldelade gruppen anses vara tilldelade approllen:
-
ObjectId: ObjectId för appens tjänsthuvudnamn. -
ResourceId: ObjectId för appens tjänsthuvudnamn. -
Id: ID:t för approllen (definierat i appens tjänsthuvudnamn) som ska tilldelas till gruppen. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000för att ange att appen har tilldelats till gruppen. -
PrincipalId: ObjectId för den grupp som du tilldelar approllen till.
Anteckning
Det här exemplet gäller när Connect-AzureAD anropades utan några parametrar. Se exempel 4 för att se hur den här cmdleten används när du är ansluten med hjälp av en kundägd appregistrering eller tjänstidentitet.
Exempel 4: När du är ansluten med en kundägd app eller tjänstidentitet
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdDen här cmdletens beteende ändras när den är ansluten till Azure AD PowerShell-modulen med hjälp av en kundägd appregistrering eller tjänstidentitet, inklusive:
- När du ansluter som tjänstens huvudnamn och
- När du använder parametern
AadAccessTokenmed en åtkomsttoken som hämtats för en kundägd appregistrering eller tjänstidentitet.
Under dessa omständigheter används denna cmdlet endast för att tilldela en approll till ett annat huvudnamn för tjänsten, som identifieras av parametrarna ObjectId och PrincipalId :
-
ObjectId: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till. -
ResourceId: ObjectId för resurstjänstens huvudnamn (till exempel ett API). -
Id: ID:t för approllen (definierat i resurstjänstens huvudnamn) som ska tilldelas klienttjänstens huvudnamn. Om inga approller har definierats i resursappen kan du använda00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId för klienttjänstens huvudnamn som du tilldelar approllen till.
När du är ansluten med en kundägd app- eller tjänstidentitet använder du New-AzureADUserAppRoleAssignment och New-AzureADGroupAppRoleAssignment för att skapa approlltilldelningar för en användare respektive grupper.
Parametrar
-Id
Anger ID:t för den approll (definierad i resurstjänstens huvudnamn) som ska tilldelas. Om inga approller har definierats i resursappen kan du använda 00000000-0000-0000-0000-000000000000 för att ange tilldelningen av resursappen eller -tjänsten, utan att ange en approll.
| Typ: | String |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | True |
| Godkänn pipeline-indata: | False |
| Godkänn jokertecken: | False |
-InformationAction
Anger hur denna cmdlet svarar på en informationshändelse. De acceptabla värdena för den här parametern är:
- Fortsätt
- Ignorera
- Fråga
- SilentlyContinue
- Stoppa
- Suspend
| Typ: | ActionPreference |
| Alias: | infa |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | False |
| Godkänn pipeline-indata: | False |
| Godkänn jokertecken: | False |
-InformationVariable
Anger en informationsvariabel.
| Typ: | String |
| Alias: | iv |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | False |
| Godkänn pipeline-indata: | False |
| Godkänn jokertecken: | False |
-ObjectId
Anger ObjectId för resurstjänstens huvudnamn (till exempel en app eller ett API) som ska tilldelas till en användare, en grupp eller ett annat huvudnamn för tjänsten.
| Typ: | String |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | True |
| Godkänn pipeline-indata: | True |
| Godkänn jokertecken: | False |
-PrincipalId
Anger ObjectId för den användare, grupp eller annat tjänsthuvudnamn som approllen tilldelas till.
| Typ: | String |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | True |
| Godkänn pipeline-indata: | False |
| Godkänn jokertecken: | False |
-ResourceId
Anger ObjectId för resurstjänstens huvudnamn (till exempel en app eller ett API) som ska tilldelas till en användare, en grupp eller ett annat huvudnamn för tjänsten.
| Typ: | String |
| Position: | Named |
| Standardvärde: | None |
| Obligatorisk: | True |
| Godkänn pipeline-indata: | False |
| Godkänn jokertecken: | False |
Kommentarer
Se migreringsguiden för New-AzureADServiceAppRoleAssignment till Microsoft Graph PowerShell.