Freigeben über


New-AzRoleAssignment

Weist dem angegebenen Dienstprinzipal die angegebene RBAC-Rolle im angegebenen Bereich zu.

Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}

Beachten Sie, dass dieses Cmdlet als Unknown Ausgabe markiert ObjectType wird, wenn das Objekt der Rollenzuweisung nicht gefunden wird oder das aktuelle Konto über unzureichende Berechtigungen zum Abrufen des Objekttyps verfügt.

Syntax

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Beschreibung

Verwenden Sie den Befehl "New-AzRoleAssignment", um Zugriff zu gewähren. Der Zugriff wird gewährt, indem ihm die entsprechende RBAC-Rolle im richtigen Bereich zugewiesen wird. Um zugriff auf das gesamte Abonnement zu gewähren, weisen Sie eine Rolle im Abonnementbereich zu. Um zugriff auf eine bestimmte Ressourcengruppe innerhalb eines Abonnements zu gewähren, weisen Sie eine Rolle im Ressourcengruppenbereich zu. Der Betreff der Zuordnung muss angegeben werden. Verwenden Sie zum Angeben eines Benutzers die Parameter "SignInName" oder "Microsoft Entra ObjectId". Verwenden Sie zum Angeben einer Sicherheitsgruppe den Parameter "Microsoft Entra ObjectId". Um eine Microsoft Entra-Anwendung anzugeben, verwenden Sie applicationId- oder ObjectId-Parameter. Die zugewiesene Rolle muss mithilfe des RoleDefinitionName-Parameters angegeben werden. Der Bereich, in dem der Zugriff gewährt wird, kann angegeben werden. Standardmäßig wird das ausgewählte Abonnement verwendet. Der Bereich der Zuordnung kann mithilfe einer der folgenden Parameterkombinationen angegeben werden: Bereich – Dies ist der vollqualifizierte Bereich beginnend mit /subscriptions/<subscriptionId> b. ResourceGroupName – um Zugriff auf die angegebene Ressourcengruppe zu gewähren. c. ResourceName, ResourceType, ResourceGroupName und (optional) ParentResource – zum Angeben einer bestimmten Ressource innerhalb einer Ressourcengruppe, auf die Der Zugriff gewährt werden soll.

Beispiele

Beispiel 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Gewähren des Zugriffs der Leserrolle auf einen Benutzer in einem Ressourcengruppenbereich, wobei die Rollenzuweisung für die Delegierung verfügbar ist

Beispiel 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Gewähren des Zugriffs auf eine Sicherheitsgruppe

Beispiel 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Gewähren des Zugriffs auf einen Benutzer an einer Ressource (Website)

Beispiel 4

New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Gewähren des Zugriffs auf eine Gruppe in einer geschachtelten Ressource (Subnetz)

Beispiel 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Gewähren des Lesezugriffs auf einen Dienstprinzipal

Parameter

-AllowDelegation

Die Delegierungskennzeichnung beim Erstellen einer Rollenzuweisung.

Typ:SwitchParameter
Position:Named
Standardwert:False
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-ApplicationId

Die Anwendungs-ID des ServicePrincipal

Typ:String
Aliase:SPN, ServicePrincipalName
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Condition

Bedingung, die auf die RoleAssignment angewendet werden soll.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ConditionVersion

Version der Bedingung.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-DefaultProfile

Anmeldeinformationen, Konto, Mandant und Abonnement für die Kommunikation mit Azure

Typ:IAzureContextContainer
Aliase:AzContext, AzureRmContext, AzureCredential
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-Description

Kurze Beschreibung der Rollenzuweisung.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-InputFile

Pfad zur Rollenzuweisung json

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ObjectId

Microsoft Entra Objectid des Benutzers, der Gruppe oder des Dienstprinzipals.

Typ:String
Aliase:Id, PrincipalId
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ObjectType

Wird mit ObjectId verwendet. Gibt den Typ des asignee-Objekts an.

Typ:String
Aliase:PrincipalType
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ParentResource

Die übergeordnete Ressource in der Hierarchie(der ressource, die mithilfe des ResourceName-Parameters angegeben wurde). Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und ResourceName verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.

Typ:String
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceGroupName

Der Name der Ressourcengruppe. Erstellt eine Zuordnung, die bei der angegebenen Ressourcengruppe wirksam ist. Bei Verwendung in Verbindung mit den Parametern ResourceName, ResourceType und (optional)ParentResource erstellt der Befehl einen hierarchischen Bereich in Form eines relativen URI, der eine Ressource identifiziert.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceName

Der Name der Ressource. Für z.B. storageaccountprod. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceType und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-ResourceType

Der Ressurcentyp. Für z.B. Microsoft.Network/virtualNetworks. Sollte nur in Verbindung mit den Parametern ResourceGroupName, ResourceName und (optional)ParentResource verwendet werden, um einen hierarchischen Bereich in Form eines relativen URI zu erstellen, der eine Ressource identifiziert.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-RoleDefinitionId

ID der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss.

Typ:Guid
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-RoleDefinitionName

Name der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss, z. B. Leser, Mitwirkender, Virtueller Netzwerkadministrator usw.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-Scope

Der Bereich der Rollenzuweisung. Im Format des relativen URI. Zum Beispiel "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG". Falls nicht angegeben, wird die Rollenzuweisung auf Abonnementebene erstellt. Wenn angegeben, sollte sie mit "/subscriptions/{id}" beginnen.

Typ:String
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-SignInName

Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers.

Typ:String
Aliase:Email, UserPrincipalName
Position:Named
Standardwert:None
Erforderlich:True
Pipelineeingabe akzeptieren:True
Platzhalterzeichen akzeptieren:False

-SkipClientSideScopeValidation

Wenn angegeben, überspringen Sie die clientseitige Bereichsüberprüfung.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

Eingaben

String

Guid

Ausgaben

PSRoleAssignment

Hinweise

Schlüsselwörter: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment