New-AzureADMSRoleAssignment
Ten artykuł zawiera szczegóły migracji z polecenia New-AzureADMSRoleAssignment do programu Microsoft Graph PowerShell.
Podsumowanie
- polecenie Azure AD: New-AzureADMSRoleAssignment
- moduł Azure AD: AzureAD
- Polecenie programu Microsoft Graph: New-MgRoleManagementDirectoryRoleAssignment (przykłady społeczności)
- Moduł programu Graph: Microsoft.Graph.Identity.Governance
- Punkt końcowy programu Graph: POST /roleManagement/directory/roleAssignments
Uprawnienia
Dostawca katalogu (Tożsamość Microsoft Entra)
| Typ uprawnienia | Uprawnienia (od najmniej do najbardziej uprzywilejowanych) |
|---|---|
| Delegowane (konto służbowe) | RoleManagement.ReadWrite.Directory |
| Delegowane (osobiste konto Microsoft) | Nieobsługiwane. |
| Aplikacja | RoleManagement.ReadWrite.Directory |
Dla dostawcy zarządzania upoważnieniami
| Typ uprawnienia | Uprawnienia (od najmniej do najbardziej uprzywilejowanych) |
|---|---|
| Delegowane (konto służbowe) | EntitlementManagement.ReadWrite.All |
| Delegowane (osobiste konto Microsoft) | Nieobsługiwane. |
| Aplikacja | EntitlementManagement.ReadWrite.All |
Mapowanie właściwości
| nazwa Azure AD | Nazwa programu Microsoft Graph |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| Identyfikator podmiotu zabezpieczeń | Identyfikator podmiotu zabezpieczeń |
| Identyfikator definicji roli | Identyfikator definicji roli |
Uwaga
Podczas tworzenia elementu unifiedRoleAssignment można określić następujące właściwości.
| Właściwość | Typ | Opis |
|---|---|---|
| appScopeId | Ciąg | Wymagane. Identyfikator zakresu specyficznego dla aplikacji, gdy zakres przypisania jest specyficzny dla aplikacji. Zakres przypisania określa zestaw zasobów, dla których podmiot zabezpieczeń otrzymał dostęp. Zakresy aplikacji to zakresy, które są definiowane i zrozumiałe tylko przez aplikację zasobów. W przypadku dostawcy zarządzania upoważnieniami użyj tej właściwości, aby określić wykaz, na przykład /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997. Należy określić parametr appScopeId lub directoryScopeId . |
| directoryScopeId | Ciąg | Wymagane. Identyfikator obiektu katalogu reprezentującego zakres przypisania. Zakres przypisania określa zestaw zasobów, dla których podmiot zabezpieczeń otrzymał dostęp. Zakresy katalogów to zakresy udostępnione przechowywane w katalogu, które są zrozumiałe dla wielu aplikacji, w przeciwieństwie do zakresów aplikacji zdefiniowanych i rozumianych tylko przez aplikację zasobów. W przypadku dostawcy katalogu (Tożsamość Microsoft Entra) ta właściwość obsługuje następujące formaty: / dla zakresu dla całej dzierżawy/administrativeUnits/{administrativeunit-ID} zakres do jednostki administracyjnej/{application-objectID} aby ograniczyć zakres do aplikacji zasobówW przypadku dostawcy / zarządzania upoważnieniami dla zakresu dla całej dzierżawy. Aby ograniczyć zakres katalogu pakietów dostępu, użyj właściwości appScopeId . Należy określić parametr appScopeId lub directoryScopeId . |
| principalId | Ciąg | Wymagane. Identyfikator podmiotu zabezpieczeń, któremu przyznano przypisanie. |
| roleDefinitionId | Ciąg | Identyfikator unifiedRoleDefinition, dla których przypisanie jest przeznaczone. Tylko do odczytu. Obsługuje $filter (eq, in). |