Partager via


New-MsolServicePrincipalCredential

Ajoutez une clé d’informations d’identification à un principal de service.

Syntaxe

New-MsolServicePrincipalCredential
   -ObjectId <Guid>
   [-Type <ServicePrincipalCredentialType>]
   [-Value <String>]
   [-StartDate <DateTime>]
   [-EndDate <DateTime>]
   [-Usage <ServicePrincipalCredentialUsage>]
   [-TenantId <Guid>]
   [<CommonParameters>]
New-MsolServicePrincipalCredential
   -ServicePrincipalName <String>
   [-Type <ServicePrincipalCredentialType>]
   [-Value <String>]
   [-StartDate <DateTime>]
   [-EndDate <DateTime>]
   [-Usage <ServicePrincipalCredentialUsage>]
   [-TenantId <Guid>]
   [<CommonParameters>]
New-MsolServicePrincipalCredential
   -AppPrincipalId <Guid>
   [-Type <ServicePrincipalCredentialType>]
   [-Value <String>]
   [-StartDate <DateTime>]
   [-EndDate <DateTime>]
   [-Usage <ServicePrincipalCredentialUsage>]
   [-TenantId <Guid>]
   [<CommonParameters>]

Description

L’applet de commande New-MsolServicePrincipalCredential ajoute de nouvelles informations d’identification à un principal de service ou ajoute ou déploie des clés d’informations d’identification pour une application. Le principal de service est identifié en fournissant l’ID d’objet, l’ID du principal de l’application ou le nom du principal du service (SPN).

Exemples

Exemple 1 : Ajouter des informations d’identification existantes à un principal de service

PS C:\> $Certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
PS C:\> $Certificate.Import("C:\myapp.cer")
PS C:\> $BinCert = $Certificate.GetRawCertData()
PS C:\> $CredValue = [System.Convert]::ToBase64String($binCert);
PS C:\> New-MsolServicePrincipalCredential -ServicePrincipalName "MyApp/myApp.com" -Type asymmetric -Value $CredValue -StartDate $Certificate.GetEffectiveDateString() -EndDate $Certificate.GetExpirationDateString()

Cet exemple montre comment ajouter un objet d’informations d’identification ou de clé à un principal de service existant. Dans cet exemple, le certificat X509 public encodé en base64 fourni, nommé myapp.cer, est ajouté au principal de service à l’aide de la valeur de nom de principal de service myApp/myApp.com.

Exemple 2 : Inscrire une Exchange Server locale

PS C:\> New-MsolServicePrincipalCredential -AppPrincipalId  -Type asymmetric -Value $CredValue

Cette commande enregistre un Exchange Server local afin que les communications entre le Exchange Server et les services Microsoft Azure Active Directory tels que Office 365 puissent se produire. Cet exemple suppose que la valeur $credValue contient le certificat X509 public au format base64 utilisé pour représenter le serveur Exchange local. Les ID connus pour les serveurs Office 365 sont les suivants :

  • Exchange : 00000002-0000-0ff1-ce00-00000000000
  • SharePoint : 00000003-0000-0ff1-ce00-00000000000
  • Lync : 00000004-0000-0ff1-ce00-00000000000

Paramètres

-AppPrincipalId

Spécifie l’ID d’application du principal de service auquel ajouter les informations d’identification.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-EndDate

Spécifie la date de fin effective de l’utilisation des informations d’identification. La valeur par défaut est d’un an à partir d’aujourd’hui. Pour les informations d’identification de type asymétrique, cette valeur doit être définie sur la date ou avant laquelle le certificat X509 est valide jusqu’à ce que le certificat X509 soit valide, sinon un jeton OAuth ne sera pas émis pour cette application.

Type:DateTime
Position:Named
Valeur par défaut:Today + 1 year
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ObjectId

Spécifie l’ID d’objet unique du principal de service auquel ajouter les informations d’identification.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-ServicePrincipalName

Spécifie le nom du principal de service auquel ajouter les informations d’identification. Un SPN doit utiliser l’un des formats suivants :

  • appName
  • appName/hostname
  • une URL valide

AppName représente le nom de l’application. Hostname représente l’autorité d’URI pour l’application.

Type:String
Position:Named
Valeur par défaut:None
Obligatoire:True
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-StartDate

Spécifie la date de début effective de l’utilisation des informations d’identification. La valeur par défaut est aujourd’hui. Pour les informations d’identification de type asymétrique, cette valeur doit être définie sur le ou après la date à laquelle le certificat X509 est valide. Sinon, aucun jeton OAuth n’est émis pour cette application.

Type:DateTime
Position:Named
Valeur par défaut:Today
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-TenantId

Spécifie l’ID unique du locataire sur lequel effectuer l’opération. La valeur par défaut est le locataire de l’utilisateur actuel. Ce paramètre s’applique uniquement aux utilisateurs partenaires.

Type:Guid
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-Type

Spécifie le type d’informations d’identification utilisées. Les valeurs autorisées sont :

  • asymétriques
  • symétrique
  • mot de passe

La valeur par défaut est symétrique.

Important

Les clés asymétriques sont recommandées. Les clés symétriques ne sont pas sécurisées et sont désactivées pour les principaux de service qui accèdent aux applications internes Microsoft.

Type:ServicePrincipalCredentialType
Position:Named
Valeur par défaut:Symmetric
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-Usage

Spécifie l’utilisation de la clé d’informations d’identification. L’utilisation de la clé d’informations d’identification peut être définie pour signer ou vérifier un jeton. La valeur par défaut est verify. Le signe est autorisé UNIQUEMENT pour les clés symétriques. Vérifiez que est autorisé pour tous les types de clés.

Une clé d’informations d’identification de vérification est requise par l’annuaire Azure Active Directory pour vérifier que le jeton de demande a été envoyé par votre application, qui est représentée par ce principal de service.

Votre application peut éventuellement exiger que les services Azure Active Directory émettent des jetons à votre application signés avec votre clé de signature plutôt que la clé publique asymétrique identifiant Microsoft Azure Active Directory. Dans ce cas, fournissez une clé d’informations d’identification de signe pour votre principal de service.

Type:ServicePrincipalCredentialUsage
Position:Named
Valeur par défaut:Verify
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False

-Value

Spécifie la valeur des informations d’identification.

  • Si le type d’informations d’identification est asymétrique, la valeur représente le certificat codé en base 64.
  • Si le type d’informations d’identification est symétrique et que le paramètre Value n’est pas spécifié, une clé AES 256 bits est automatiquement créée et valide pendant un an à compter de la création.
  • Si le type d’informations d’identification est mot de passe, spécifiez Valeur. Il ne doit pas être encodé en base 64.
Type:String
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:True
Accepter les caractères génériques:False