Kurumsal uygulamaya kullanıcı ve grup atama

Bu makalede, PowerShell kullanarak bir kurumsal uygulamaya (Azure AD) Azure Active Directory ve grupları atamanız açıklanmıştır. Bir uygulamaya kullanıcı atadığınız zaman, uygulama kolay erişim için kullanıcının Uygulamalarım portalında görünür. Uygulama rolleri açığa çıkarırsa, kullanıcıya belirli bir rol de atabilirsiniz.

Önkoşullar

PowerShell kullanarak kullanıcıları bir uygulamaya atamak için aşağıdakiler gerekir:

PowerShell kullanarak bir uygulamaya kullanıcı ve grup atama

  1. Yükseltilmiş bir komut Windows PowerShell istemi açın.

    Not

    AzureAD modülünü yüklemeniz gerekir (komutunu Install-Module -Name AzureAD kullanın). NuGet modülünü veya yeni Azure Active Directory V2 PowerShell modülünü yüklemeniz istenirse Y yazın ve ENTER tuşuna basın.

  2. Genel Connect-AzureAD Yönetici kullanıcı hesabıyla çalıştırın ve oturum açın.

  3. Bir uygulamaya kullanıcı ve rol atamak için aşağıdaki betiği kullanın:

    # Assign the values to the variables
    $username = "<Your user's UPN>"
    $app_name = "<Your App's display name>"
    $app_role_name = "<App role display name>"
    
    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    
    

To assign a group to an enterprise app, you must replace Get-AzureADUser with Get-AzureADGroup and replace New-AzureADUserAppRoleAssignment with New-AzureADGroupAppRoleAssignment.

For more information about how to assign a group to an application role, see the documentation for New-AzureADGroupAppRoleAssignment.

Example

This example assigns the user Britta Simon to the Microsoft Workplace Analytics application using PowerShell.

  1. In PowerShell, assign the corresponding values to the variables $username, $app_name and $app_role_name.

    # Assign the values to the variables
    $username = "britta.simon@contoso.com"
    $app_name = "Workplace Analytics"
    
    
  2. In this example, we don't know what is the exact name of the application role we want to assign to Britta Simon. Run the following commands to get the user ($user) and the service principal ($sp) using the user UPN and the service principal display names.

    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    
    
  3. Run the command $sp.AppRoles to display the roles available for the Workplace Analytics application. In this example, we want to assign Britta Simon the Analyst (Limited access) Role. Shows the roles available to a user using Workplace Analytics Role

  4. Assign the role name to the $app_role_name variable.

    # Assign the values to the variables
    $app_role_name = "Analyst (Limited access)"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
    
  5. Run the following command to assign the user to the app role:

    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    

PowerShell kullanarak bir uygulamadaki kullanıcı ve grupları atamasını geri atama

  1. Yükseltilmiş bir komut Windows PowerShell istemi açın.

    Not

    AzureAD modülünü yüklemeniz gerekir (komutunu Install-Module -Name AzureAD kullanın). NuGet modülünü veya yeni Azure Active Directory V2 PowerShell modülünü yüklemeniz istenirse Y yazın ve ENTER tuşuna basın.

  2. Genel Connect-AzureAD Yönetici kullanıcı hesabıyla çalıştırın ve oturum açın.

  3. Bir kullanıcı ve rolü bir uygulamadan kaldırmak için aşağıdaki betiği kullanın:

    # Store the proper parameters
    $user = get-azureaduser -ObjectId <objectId>
    $spo = Get-AzureADServicePrincipal -ObjectId <objectId>
    
    #Get the ID of role assignment 
    $assignments = Get-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId | Where {$_.PrincipalDisplayName -eq $user.DisplayName}
    
    #if you run the following, it will show you what is assigned what
    $assignments | Select *
    
    #To remove the App role assignment run the following command.
    Remove-AzureADServiceAppRoleAssignment -ObjectId $spo.ObjectId -AppRoleAssignmentId $assignments[assignment #].ObjectId
    

Sonraki adımlar

Aşağıdaki kaynaklarla kullanıcı ataması ve erişimini yönetme hakkında daha fazla bilgi