New-AzureADServiceAppRoleAssignment
Przypisuje rolę aplikacji do użytkownika, grupy lub innej jednostki usługi.
Składnia
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Opis
Polecenie cmdlet New-AzureADServiceAppRoleAssignment przypisuje rolę aplikacji z jednostki usługi zasobów do użytkownika, grupy lub innej jednostki usługi. Role aplikacji przypisane do jednostek usługi są również nazywane uprawnieniami aplikacji.
Uwaga
Opisane tutaj zachowanie ma zastosowanie w przypadku Connect-AzureAD wywołania bez żadnych parametrów lub użycia tożsamości aplikacji należącej do firmy Microsoft. Zobacz przykład 4 , aby dowiedzieć się więcej o różnicy w przypadku nawiązywania połączenia przy użyciu rejestracji aplikacji lub tożsamości usługi należącej do klienta.
Przykłady
Przykład 1. Przypisywanie roli aplikacji do innej jednostki usługi
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdW tym przykładzie jednostka usługi klienta ma przypisaną rolę aplikacji (uprawnienie aplikacji) zdefiniowaną przez jednostkę usługi zasobów (na przykład interfejs API):
ObjectId: Identyfikator ObjectId jednostki usługi zasobów (na przykład interfejs API).ResourceId: Identyfikator ObjectId jednostki usługi zasobów (na przykład interfejs API).Id: identyfikator roli aplikacji (zdefiniowany w jednostce usługi zasobów) do przypisania do jednostki usługi klienta. Jeśli w aplikacji zasobów nie zdefiniowano żadnych ról aplikacji, możesz użyć polecenia00000000-0000-0000-0000-000000000000.PrincipalId: Identyfikator ObjectId jednostki usługi klienta, do której przypisujesz rolę aplikacji.
Uwaga
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów. Zobacz przykład 4 , aby zobaczyć, jak to polecenie cmdlet jest używane podczas nawiązywania połączenia przy użyciu rejestracji aplikacji lub tożsamości usługi należącej do klienta.
Przykład 2. Przypisywanie roli aplikacji do użytkownika
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdW tym przykładzie użytkownik ma przypisaną rolę aplikacji zdefiniowaną przez aplikację zasobów:
ObjectId: Identyfikator ObjectId jednostki usługi aplikacji.ResourceId: Identyfikator ObjectId jednostki usługi aplikacji.Id: identyfikator roli aplikacji (zdefiniowany w jednostce usługi aplikacji) do przypisania do użytkownika. Jeśli do aplikacji zasobów nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000polecenia , aby wskazać, że aplikacja jest przypisana do użytkownika.PrincipalId: identyfikator ObjectId użytkownika, do którego przypisujesz rolę aplikacji.
Uwaga
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów. Zobacz przykład 4 , aby zobaczyć, jak to polecenie cmdlet jest używane podczas nawiązywania połączenia przy użyciu rejestracji aplikacji lub tożsamości usługi należącej do klienta.
Przykład 3. Przypisywanie roli aplikacji do grupy
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdW tym przykładzie grupa ma przypisaną rolę aplikacji zdefiniowaną przez aplikację zasobów. Wszyscy użytkownicy, którzy są bezpośrednim członkiem przypisanej grupy, są traktowani jako przypisani do roli aplikacji:
ObjectId: Identyfikator ObjectId jednostki usługi aplikacji.ResourceId: Identyfikator ObjectId jednostki usługi aplikacji.Id: identyfikator roli aplikacji (zdefiniowany w jednostce usługi aplikacji) do przypisania do grupy. Jeśli w aplikacji zasobów nie zdefiniowano żadnych ról aplikacji, możesz użyć00000000-0000-0000-0000-000000000000polecenia , aby wskazać, że aplikacja jest przypisana do grupy.PrincipalId: Identyfikator ObjectId grupy, do której przypisujesz rolę aplikacji.
Uwaga
Ten przykład ma zastosowanie, gdy Connect-AzureAD został wywołany bez żadnych parametrów. Zobacz przykład 4 , aby zobaczyć, jak to polecenie cmdlet jest używane podczas nawiązywania połączenia przy użyciu rejestracji aplikacji lub tożsamości usługi należącej do klienta.
Przykład 4: W przypadku połączenia przy użyciu tożsamości aplikacji lub usługi należącej do klienta
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdZachowanie tego polecenia cmdlet zmienia się po nawiązaniu połączenia z modułem Azure AD PowerShell przy użyciu rejestracji aplikacji lub tożsamości usługi należącej do klienta, w tym:
- Podczas nawiązywania połączenia jako jednostki usługi i
- W przypadku korzystania z parametru
AadAccessTokenz tokenem dostępu uzyskanym dla rejestracji aplikacji lub tożsamości usługi należącej do klienta.
W takich okolicznościach to polecenie cmdlet jest używane tylko do przypisywania roli aplikacji do innej jednostki usługi identyfikowanej przez ObjectId parametry i PrincipalId :
ObjectId: Identyfikator ObjectId jednostki usługi klienta, do której przypisujesz rolę aplikacji.ResourceId: Identyfikator ObjectId jednostki usługi zasobów (na przykład interfejs API).Id: identyfikator roli aplikacji (zdefiniowany w jednostce usługi zasobów) do przypisania do jednostki usługi klienta. Jeśli w aplikacji zasobów nie zdefiniowano żadnych ról aplikacji, możesz użyć polecenia00000000-0000-0000-0000-000000000000.PrincipalId: Identyfikator ObjectId jednostki usługi klienta, do której przypisujesz rolę aplikacji.
Po nawiązaniu połączenia przy użyciu tożsamości aplikacji lub usługi należącej do klienta użyj odpowiednio poleceń New-AzureADUserAppRoleAssignment i New-AzureADGroupAppRoleAssignment , aby utworzyć przypisania ról aplikacji dla użytkowników i grup.
Parametry
-Id
Określa identyfikator roli aplikacji (zdefiniowanej w jednostce usługi zasobów) do przypisania. Jeśli w aplikacji zasobów nie zdefiniowano żadnych ról aplikacji, możesz użyć 00000000-0000-0000-0000-000000000000 polecenia , aby wskazać przypisanie aplikacji lub usługi zasobów bez określania roli aplikacji.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationAction
Określa, w jaki sposób to polecenie cmdlet reaguje na zdarzenie informacyjne. Dopuszczalne wartości dla tego parametru to:
- Kontynuuj
- Zignoruj
- Zapytać
- SilentlyContinue
- Stop
- Wstrzymanie
| Type: | ActionPreference |
| Aliases: | infa |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InformationVariable
Określa zmienną informacyjną.
| Type: | String |
| Aliases: | iv |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ObjectId
Określa identyfikator ObjectId jednostki usługi zasobów (np. aplikacji lub interfejsu API), która ma zostać przypisana do użytkownika, grupy lub innej jednostki usługi.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-PrincipalId
Określa identyfikator ObjectId użytkownika, grupy lub innej jednostki usługi, do której jest przypisywana rola aplikacji.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ResourceId
Określa identyfikator ObjectId jednostki usługi zasobów (np. aplikacji lub interfejsu API), która ma zostać przypisana do użytkownika, grupy lub innej jednostki usługi.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Uwagi
Zobacz przewodnik migracji dla polecenia New-AzureADServiceAppRoleAssignment do programu Microsoft Graph PowerShell.
Linki powiązane
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla