New-AzureADMSRoleAssignment
Questo articolo fornisce informazioni dettagliate sulla migrazione da New-AzureADMSRoleAssignment comando a Microsoft Graph PowerShell.
Riepilogo
- Comando di Azure AD: New-AzureADMSRoleAssignment
- Modulo di Azure AD: AzureAD
- Comando di Microsoft Graph: New-MgRoleManagementDirectoryRoleAssignment (esempi della community)
- Modulo Graph: Microsoft.Graph.Identity.Governance
- Endpoint grafico: POST /roleManagement/directory/roleAssignments
Autorizzazioni
Per il provider di directory (Microsoft Entra ID)
| Tipo di autorizzazione | Autorizzazioni (da quella con meno privilegi a quella con più privilegi) |
|---|---|
| Delegata (account aziendale o dell'istituto di istruzione) | RoleManagement.ReadWrite.Directory |
| Delegata (account Microsoft personale) | Non supportata. |
| Applicazioni | RoleManagement.ReadWrite.Directory |
Per il provider di gestione entitlement
| Tipo di autorizzazione | Autorizzazioni (da quella con meno privilegi a quella con più privilegi) |
|---|---|
| Delegata (account aziendale o dell'istituto di istruzione) | EntitlementManagement.ReadWrite.All |
| Delegata (account Microsoft personale) | Non supportata. |
| Applicazioni | EntitlementManagement.ReadWrite.All |
Mapping di proprietà
| Nome di Azure AD | Nome Microsoft Graph |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
Nota
Quando si crea un oggetto unifiedRoleAssignment, è possibile specificare le proprietà seguenti.
| Proprietà | Type | Descrizione |
|---|---|---|
| appScopeId | string | Obbligatorio. Identificatore dell'ambito specifico dell'app quando l'ambito di assegnazione è specifico dell'app. L'ambito di un'assegnazione determina il set di risorse per cui all'entità è stato concesso l'accesso. Gli ambiti dell'app sono ambiti definiti e compresi solo da un'applicazione di risorse. Per il provider di gestione entitlement, usare questa proprietà per specificare un catalogo, ad esempio /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. È necessario specificare appScopeId o directoryScopeId . |
| directoryScopeId | string | Obbligatorio. Identificatore dell'oggetto directory che rappresenta l'ambito dell'assegnazione. L'ambito di un'assegnazione determina il set di risorse per cui all'entità è stato concesso l'accesso. Gli ambiti di directory sono ambiti condivisi archiviati nella directory che vengono riconosciuti da più applicazioni, a differenza degli ambiti dell'app definiti e compresi solo da un'applicazione di risorse. Per il provider di directory (Microsoft Entra ID), questa proprietà supporta i formati seguenti: / per l'ambito a livello di tenant/administrativeUnits/{administrativeunit-ID} per definire l'ambito di un'unità amministrativa/{application-objectID} per definire l'ambito di un'applicazione di risorsePer il provider di gestione entitlement, / per l'ambito a livello di tenant. Per definire l'ambito di un catalogo di pacchetti di accesso, usare la proprietà appScopeId . È necessario specificare appScopeId o directoryScopeId . |
| principalId | string | Obbligatorio. Identificatore dell'entità a cui viene concessa l'assegnazione. |
| roleDefinitionId | string | Identificatore dell'oggetto unifiedRoleDefinition per cui l'assegnazione è destinata. Di sola lettura. Supporta $filter (eq, in). |