New-AzureADServiceAppRoleAssignment
Assegna un ruolo app a un utente, a un gruppo o a un'altra entità servizio.
Sintassi
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>] Descrizione
Il cmdlet New-AzureADServiceAppRoleAssignment assegna un ruolo app da un'entità servizio risorse a un utente, a un gruppo o a un'altra entità servizio. I ruoli dell'app assegnati alle entità servizio sono noti anche come autorizzazioni dell'applicazione.
Nota
Il comportamento descritto di seguito si applica quando Connect-AzureAD è stato chiamato senza parametri o usando un'identità dell'applicazione di proprietà di Microsoft. Vedere Esempio 4 per altre informazioni sulla differenza quando si è connessi usando una registrazione dell'app o un'identità del servizio di proprietà del cliente.
Esempio
Esempio 1: Assegnare un ruolo app a un'altra entità servizio
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdIn questo esempio viene assegnata un'entità servizio client a un ruolo app (autorizzazione dell'applicazione) definita da un'entità servizio risorse (ad esempio un'API):
-
ObjectId: ObjectId dell'entità servizio risorsa , ad esempio un'API. -
ResourceId: ObjectId dell'entità servizio risorsa , ad esempio un'API. -
Id: ID del ruolo dell'app (definito nell'entità servizio risorse) da assegnare all'entità servizio client. Se non sono stati definiti ruoli dell'app nell'app per le risorse, è possibile usare00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId dell'entità servizio client a cui si assegna il ruolo dell'app.
Nota
Questo esempio si applica quando Connect-AzureAD è stato chiamato senza parametri. Vedere Esempio 4 per vedere come viene usato questo cmdlet quando si è connessi usando una registrazione dell'app o un'identità del servizio di proprietà del cliente.
Esempio 2: Assegnare un ruolo app a un utente
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectIdIn questo esempio un utente viene assegnato un ruolo dell'app definito da un'app per le risorse:
-
ObjectId: ObjectId dell'entità servizio dell'app. -
ResourceId: ObjectId dell'entità servizio dell'app. -
Id: ID del ruolo dell'app (definito nell'entità servizio dell'app) da assegnare all'utente. Se all'app non sono stati definiti ruoli app, è possibile usare00000000-0000-0000-0000-000000000000per indicare che l'app viene assegnata all'utente. -
PrincipalId: ObjectId dell'utente a cui si sta assegnando il ruolo dell'app.
Nota
Questo esempio si applica quando Connect-AzureAD è stato chiamato senza parametri. Vedere Esempio 4 per vedere come viene usato questo cmdlet quando si è connessi usando una registrazione dell'app o un'identità del servizio di proprietà del cliente.
Esempio 3: Assegnare un ruolo app a un gruppo
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectIdIn questo esempio viene assegnato un ruolo app definito da un'app. Tutti gli utenti che sono membri diretti del gruppo assegnato vengono considerati assegnati al ruolo dell'app:
-
ObjectId: ObjectId dell'entità servizio dell'app. -
ResourceId: ObjectId dell'entità servizio dell'app. -
Id: ID del ruolo dell'app (definito nell'entità servizio dell'app) da assegnare al gruppo. Se non sono stati definiti ruoli dell'app nell'app per le risorse, è possibile usare00000000-0000-0000-0000-000000000000per indicare che l'app viene assegnata al gruppo. -
PrincipalId: ObjectId del gruppo a cui si sta assegnando il ruolo dell'app.
Nota
Questo esempio si applica quando Connect-AzureAD è stato chiamato senza parametri. Vedere Esempio 4 per vedere come viene usato questo cmdlet quando si è connessi usando una registrazione dell'app o un'identità del servizio di proprietà del cliente.
Esempio 4: quando si è connessi usando un'app o un'identità del servizio di proprietà del cliente
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectIdQuesto comportamento del cmdlet cambia quando si è connessi al modulo di Azure AD PowerShell usando una registrazione o un'identità del servizio dell'app di proprietà del cliente, tra cui:
- Quando ci si connette come entità servizio e
- Quando si usa il
AadAccessTokenparametro con un token di accesso ottenuto per una registrazione o un'identità del servizio dell'app di proprietà del cliente.
In queste circostanze, questo cmdlet viene usato solo per assegnare un ruolo app a un'altra entità servizio, identificata dai ObjectId parametri e PrincipalId :
-
ObjectId: ObjectId dell'entità servizio client a cui si assegna il ruolo dell'app. -
ResourceId: ObjectId dell'entità servizio risorsa , ad esempio un'API. -
Id: ID del ruolo dell'app (definito nell'entità servizio risorse) da assegnare all'entità servizio client. Se non sono stati definiti ruoli dell'app nell'app per le risorse, è possibile usare00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId dell'entità servizio client a cui si assegna il ruolo dell'app.
Quando si è connessi usando un'app o un'identità del servizio di proprietà del cliente, usare rispettivamente New-AzureADUserAppRoleAssignment e New-AzureADGroupAppRoleAssignment per creare assegnazioni di ruolo dell'app per un utente e gruppi.
Parametri
-Id
Specifica l'ID del ruolo dell'app (definito nell'entità servizio risorse) da assegnare. Se non sono stati definiti ruoli app nell'app per le risorse, è possibile usare 00000000-0000-0000-0000-000000000000 per indicare l'assegnazione dell'app o del servizio delle risorse, senza specificare un ruolo dell'app.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-InformationAction
Specifica il modo in cui questo cmdlet risponde a un evento informativo. I valori validi per questo parametro sono:
- Continua
- Ignora
- Verifica
- SilentlyContinue
- Arresto
- Sospendi
| Tipo: | ActionPreference |
| Alias: | infa |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-InformationVariable
Specifica una variabile di informazioni.
| Tipo: | String |
| Alias: | iv |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | False |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-ObjectId
Specifica l'oggetto ObjectId dell'entità servizio risorse , ad esempio un'app o un'API, che verrà assegnata a un utente, a un gruppo o a un'altra entità servizio.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | True |
| Accettare caratteri jolly: | False |
-PrincipalId
Specifica l'OggettoId dell'utente, del gruppo o di un'altra entità servizio a cui viene assegnato il ruolo dell'app.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
-ResourceId
Specifica l'oggetto ObjectId dell'entità servizio risorse , ad esempio un'app o un'API, che verrà assegnata a un utente, a un gruppo o a un'altra entità servizio.
| Tipo: | String |
| Posizione: | Named |
| Valore predefinito: | None |
| Necessario: | True |
| Accettare l'input della pipeline: | False |
| Accettare caratteri jolly: | False |
Note
Vedere la guida alla migrazione per New-AzureADServiceAppRoleAssignment in Microsoft Graph PowerShell.