New-AzureADMSRoleAssignment
本文提供從 New-AzureADMSRoleAssignment 命令移轉至 Microsoft Graph PowerShell 的詳細數據。
摘要
- Azure AD 命令: New-AzureADMSRoleAssignment
- Azure AD 模組:AzureAD
- Microsoft Graph 命令: New-MgRoleManagementDirectoryRoleAssignment (社群範例)
- Graph 模組:Microsoft.Graph.Identity.Governance
- Graph 端點:POST /roleManagement/directory/roleAssignments
權限
針對目錄 (Microsoft Entra ID) 提供者
| 權限類型 | 許可權 (從最小到最大權限者) |
|---|---|
| 已委派 (工作或學校帳戶) | RoleManagement.ReadWrite.Directory |
| 已委派(個人 Microsoft 帳戶) | 不支援。 |
| 應用程式 | RoleManagement.ReadWrite.Directory |
針對權利管理提供者
| 權限類型 | 許可權 (從最小到最大權限者) |
|---|---|
| 已委派 (工作或學校帳戶) | EntitlementManagement.ReadWrite.All |
| 已委派(個人 Microsoft 帳戶) | 不支援。 |
| 應用程式 | EntitlementManagement.ReadWrite.All |
屬性對應
| Azure AD 名稱 | Microsoft Graph 名稱 |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
注意
您可以在建立 unifiedRoleAssignment 時指定下列屬性。
| 屬性 | 類型 | Description |
|---|---|---|
| appScopeId | String | 必要。 指派範圍是應用程式特定的時,應用程式特定範圍的標識碼。 指派的範圍會決定主體被授與存取權的資源集。 應用程式範圍是資源應用程式所定義和瞭解的範圍。 針對權利管理提供者,請使用這個屬性來指定目錄,例如 /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997。 必須指定 appScopeId 或 directoryScopeId 。 |
| directoryScopeId | String | 必要。 代表指派範圍的 目錄物件 標識符。 指派的範圍會決定主體被授與存取權的資源集。 目錄範圍是儲存在多個應用程式所瞭解之目錄中的共用範圍,與資源應用程式所定義和瞭解的應用程式範圍不同。 對於目錄 (Microsoft Entra ID) 提供者,此屬性支援下列格式: / 適用於全租用戶範圍/administrativeUnits/{administrativeunit-ID} 範圍設定為管理單位/{application-objectID} 範圍設定為資源應用程式針對權利管理提供者, / 適用於全租用戶範圍。 若要限定存取套件目錄的範圍,請使用 appScopeId 屬性。 必須指定 appScopeId 或 directoryScopeId 。 |
| principalId | String | 必要。 授與指派之主體的標識碼。 |
| roleDefinitionId | 字串 | 指派的 unifiedRoleDefinition 識別符。 唯讀。 支援 $filter (eq、 in) 。 |