New-AzRoleAssignment
Wijst de opgegeven RBAC-rol toe aan de opgegeven principal, op het opgegeven bereik.
De cmdlet kan onderstaande Microsoft Graph API aanroepen op basis van invoerparameters:
- GET /users/{id}
- GET /servicePrincipals/{id}
- GET /groups/{id}
- GET /directoryObjects/{id}
Houd er rekening mee dat deze cmdlet als uitvoer wordt gemarkeerd ObjectType
Unknown
als het object van de roltoewijzing niet wordt gevonden of als het huidige account onvoldoende bevoegdheden heeft om het objecttype op te halen.
Syntax
New-AzRoleAssignment
-ObjectId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ObjectId <String>
-Scope <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
-RoleDefinitionId <Guid>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-SignInName <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
-ResourceGroupName <String>
-ResourceName <String>
-ResourceType <String>
[-ParentResource <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-ApplicationId <String>
[-Scope <String>]
-RoleDefinitionName <String>
[-Description <String>]
[-Condition <String>]
[-ConditionVersion <String>]
[-ObjectType <String>]
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
New-AzRoleAssignment
-InputFile <String>
[-AllowDelegation]
[-SkipClientSideScopeValidation]
[-DefaultProfile <IAzureContextContainer>]
[<CommonParameters>]
Description
Gebruik de opdracht New-AzRoleAssignment om toegang te verlenen. Toegang wordt verleend door de juiste RBAC-rol aan hen toe te wijzen aan het juiste bereik. Als u toegang wilt verlenen tot het hele abonnement, wijst u een rol toe aan het abonnementsbereik. Als u toegang wilt verlenen tot een specifieke resourcegroep binnen een abonnement, wijst u een rol toe aan het bereik van de resourcegroep. Het onderwerp van de opdracht moet worden opgegeven. Als u een gebruiker wilt opgeven, gebruikt u de parameters SignInName of Microsoft Entra ObjectId. Als u een beveiligingsgroep wilt opgeven, gebruikt u de parameter Microsoft Entra ObjectId. En als u een Microsoft Entra-toepassing wilt opgeven, gebruikt u ApplicationId- of ObjectId-parameters. De rol die wordt toegewezen, moet worden opgegeven met behulp van de parameter RoleDefinitionName. Het bereik waarop toegang wordt verleend, kan worden opgegeven. Het is standaard ingesteld op het geselecteerde abonnement. Het bereik van de toewijzing kan worden opgegeven met behulp van een van de volgende parametercombinaties a. Bereik: dit is het volledig gekwalificeerde bereik dat begint met /subscriptions/<subscriptionId> b. ResourceGroupName: om toegang te verlenen tot de opgegeven resourcegroep. c. ResourceName, ResourceType, ResourceGroupName en (optioneel) ParentResource: als u een bepaalde resource binnen een resourcegroep wilt opgeven om toegang te verlenen.
Voorbeelden
Voorbeeld 1
New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation
Rol lezer toegang verlenen tot een gebruiker binnen een resourcegroepbereik, waarbij de roltoewijzing beschikbaar is voor delegering
Voorbeeld 2
Get-AzADGroup -SearchString "Christine Koch Team"
DisplayName Type Id
----------- ---- --------
Christine Koch Team 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb
New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor -ResourceGroupName rg1
Toegang verlenen tot een beveiligingsgroep
Voorbeeld 3
New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/86f81fc3-b00f-48cd-8218-3879f51ff362/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"
Toegang verlenen aan een gebruiker op een resource (website)
Voorbeeld 4
New-AzRoleAssignment -ObjectId 5ac84765-1c8c-4994-94b2-629461bd191b -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network
Toegang verlenen aan een groep op een geneste resource (subnet)
Voorbeeld 5
$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId
Lezer toegang verlenen tot een service-principal
Parameters
-AllowDelegation
De delegatievlag tijdens het maken van een roltoewijzing.
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ApplicationId
De toepassings-id van de ServicePrincipal
Type: | String |
Aliases: | SPN, ServicePrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Condition
Voorwaarde die moet worden toegepast op RoleAssignment.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ConditionVersion
Versie van de voorwaarde.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-DefaultProfile
De referenties, het account, de tenant en het abonnement dat wordt gebruikt voor communicatie met Azure
Type: | IAzureContextContainer |
Aliases: | AzContext, AzureRmContext, AzureCredential |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Description
Korte beschrijving van de roltoewijzing.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-InputFile
Pad naar json voor roltoewijzing
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectId
Microsoft Entra Objectid van de gebruiker, groep of service-principal.
Type: | String |
Aliases: | Id, PrincipalId |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ObjectType
Moet worden gebruikt met ObjectId. Hiermee geeft u het type van het asignee-object
Type: | String |
Aliases: | PrincipalType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ParentResource
De bovenliggende resource in de hiërarchie (van de resource die is opgegeven met de parameter ResourceName). Mag alleen worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en ResourceName om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceGroupName
De naam van de resourcegroep. Hiermee maakt u een toewijzing die van kracht is op de opgegeven resourcegroep. Wanneer de opdracht wordt gebruikt in combinatie met ResourceName, ResourceType en (optioneel)ParentResource-parameters, wordt een hiërarchisch bereik samengesteld in de vorm van een relatieve URI die een resource identificeert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceName
De resourcenaam. Voor bijvoorbeeld storageaccountprod. Mag alleen worden gebruikt in combinatie met de parameters ResourceGroupName, ResourceType en (optioneel)ParentResource om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-ResourceType
Het type van de resource. Voor bijvoorbeeld Microsoft.Network/virtualNetworks. Mag alleen worden gebruikt in combinatie met ResourceGroupName, ResourceName en (optioneel)ParentResource-parameters om een hiërarchisch bereik te maken in de vorm van een relatieve URI die een resource identificeert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionId
Id van de RBAC-rol die moet worden toegewezen aan de principal.
Type: | Guid |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-RoleDefinitionName
Naam van de RBAC-rol die moet worden toegewezen aan de principal, d.w.w. Lezer, Inzender, Virtual Network Beheer istrator, enzovoort.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Scope
Het bereik van de roltoewijzing. In de indeling van relatieve URI. Bijvoorbeeld '/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG'. Als dit niet is opgegeven, maakt u de roltoewijzing op abonnementsniveau. Indien opgegeven, moet deze beginnen met '/subscriptions/{id}'.
Type: | String |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SignInName
Het e-mailadres of de principal-naam van de gebruiker.
Type: | String |
Aliases: | Email, UserPrincipalName |
Position: | Named |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-SkipClientSideScopeValidation
Als u dit hebt opgegeven, slaat u de validatie van het bereik aan de clientzijde over.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Invoerwaarden
Uitvoerwaarden
Notities
Trefwoorden: azure, azurerm, arm, resource, beheer, manager, resource, groep, sjabloon, implementatie
Verwante koppelingen
Azure PowerShell
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor