New-AzureADServiceAppRoleAssignment
Přiřadí roli aplikace uživateli, skupině nebo jinému instančnímu objektu.
Syntax
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Description
Rutina New-AzureADServiceAppRoleAssignment přiřadí roli aplikace z instančního objektu prostředku uživateli, skupině nebo jinému instančnímu objektu. Role aplikací přiřazené k instančním objektům se také označují jako oprávnění aplikace.
Poznámka
Zde popsané chování platí, pokud Connect-AzureAD bylo voláno bez jakýchkoli parametrů nebo pomocí identity aplikace vlastněné Microsoftem. Další informace o rozdílu při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem najdete v příkladu 4 .
Příklady
Příklad 1: Přiřazení role aplikace jinému instančnímu objektu
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdV tomto příkladu má instanční objekt klienta přiřazenou roli aplikace (oprávnění aplikace) definovanou instančním objektem prostředku (například rozhraní API):
ObjectId: ObjectId instančního objektu prostředku (například rozhraní API).ResourceId: ObjectId instančního objektu prostředku (například rozhraní API).Id: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000.PrincipalId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 2: Přiřazení role aplikace uživateli
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdV tomto příkladu má uživatel přiřazenou roli aplikace definovanou aplikací prostředků:
ObjectId: ObjectId instančního objektu aplikace.ResourceId: ObjectId instančního objektu aplikace.Id: ID role aplikace (definované v instančním objektu aplikace), které se přiřadí uživateli. Pokud pro aplikaci prostředků nebyly definovány žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000k označení, že je aplikace přiřazená uživateli.PrincipalId: ObjectId uživatele, kterému přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 3: Přiřazení role aplikace ke skupině
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdV tomto příkladu je skupině přiřazena role aplikace definovaná aplikací prostředků. Všichni uživatelé, kteří jsou přímými členy přiřazené skupiny, se považují za přiřazené role aplikace:
ObjectId: ObjectId instančního objektu aplikace.ResourceId: ObjectId instančního objektu aplikace.Id: ID role aplikace (definované v instančním objektu aplikace), která se má přiřadit ke skupině. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000k označení, že je aplikace přiřazená ke skupině.PrincipalId: ObjectId skupiny, ke které přiřazujete roli aplikace.
Poznámka
Tento příklad platí, když Connect-AzureAD byl volána bez jakýchkoli parametrů. V příkladu 4 se dozvíte, jak se tato rutina používá při připojení pomocí registrace aplikace nebo identity služby vlastněné zákazníkem.
Příklad 4: Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdChování této rutiny se změní při připojení k modulu powershellu Azure AD pomocí registrace aplikace nebo identity služby vlastněné zákazníkem, včetně těchto:
- Při připojování jako instančního objektu a
- Při použití parametru
AadAccessTokens přístupovým tokenem získaným pro registraci aplikace nebo identitu služby ve vlastnictví zákazníka.
Za těchto okolností se tato rutina používá pouze k přiřazení role aplikace jinému instančnímu objektu ObjectId , který je identifikován parametry a PrincipalId :
ObjectId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.ResourceId: ObjectId instančního objektu prostředku (například rozhraní API).Id: ID role aplikace (definované v instančním objektu prostředku), které se má přiřadit k instančnímu objektu klienta. Pokud v aplikaci prostředků nejsou definované žádné role aplikace, můžete použít00000000-0000-0000-0000-000000000000.PrincipalId: ObjectId instančního objektu klienta, ke kterému přiřazujete roli aplikace.
Při připojení pomocí identity aplikace nebo služby vlastněné zákazníkem vytvořte přiřazení rolí aplikace pro uživatele a skupiny pomocí rutin New-AzureADUserAppRoleAssignment a New-AzureADGroupAppRoleAssignment .
Parametry
-Id
Určuje ID role aplikace (definované v instančním objektu prostředku), která se má přiřadit. Pokud v aplikaci prostředků nejsou definovány žádné role aplikace, můžete použít 00000000-0000-0000-0000-000000000000 k označení přiřazení aplikace nebo služby prostředků bez zadání role aplikace.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationAction
Určuje, jak tato rutina reaguje na informační událost. Tento parametr přijímá tyto hodnoty:
- Pokračovat
- Ignorovat
- Dotazem
- SilentlyContinue
- Zastavit
- Suspend
| Type: | ActionPreference |
| Aliases: | infa |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationVariable
Určuje informační proměnnou.
| Type: | String |
| Aliases: | iv |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ObjectId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-PrincipalId
Určuje Id objektu uživatele, skupiny nebo jiného instančního objektu, ke kterému je přiřazena role aplikace.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ResourceId
Určuje ObjectId instančního objektu prostředku (například aplikace nebo rozhraní API), který bude přiřazen uživateli, skupině nebo jinému instančnímu objektu.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Poznámky
Projděte si průvodce migrací pro New-AzureADServiceAppRoleAssignment do Microsoft Graph PowerShellu.
Související odkazy
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro