你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
New-AzureADMSRoleAssignment
本文提供了从 New-AzureADMSRoleAssignment 命令到 Microsoft Graph PowerShell 的迁移详细信息。
总结
- Azure AD 命令: New-AzureADMSRoleAssignment
- Azure AD 模块:AzureAD
- Microsoft Graph 命令: New-MgRoleManagementDirectoryRoleAssignment (社区示例)
- Graph 模块:Microsoft.Graph.Identity.Governance
- Graph 终结点:POST /roleManagement/directory/roleAssignments
权限
对于目录 (Microsoft Entra ID) 提供程序
| 权限类型 | 权限(按权限从低到高排序) |
|---|---|
| 委托的(工作或学校帐户) | RoleManagement.ReadWrite.Directory |
| 委托的(个人 Microsoft 帐户) | 不支持。 |
| 应用程序 | RoleManagement.ReadWrite.Directory |
对于权利管理提供程序
| 权限类型 | 权限(按权限从低到高排序) |
|---|---|
| 委托的(工作或学校帐户) | EntitlementManagement.ReadWrite.All |
| 委托的(个人 Microsoft 帐户) | 不支持。 |
| 应用程序 | EntitlementManagement.ReadWrite.All |
属性映射
| Azure AD 名称 | Microsoft Graph 名称 |
|---|---|
| DirectoryScopeId | DirectoryScopeId |
| PrincipalId | PrincipalId |
| RoleDefinitionId | RoleDefinitionId |
注意
创建 unifiedRoleAssignment 时,可以指定以下属性。
| 属性 | 类型 | 描述 |
|---|---|---|
| appScopeId | 字符串 | 必需。 当分配范围特定于应用时,应用特定范围的标识符。 分配的范围确定向其授予主体访问权限的资源集。 应用范围是仅由资源应用程序定义和理解的范围。 对于权利管理提供程序,请使用此属性指定目录,例如 /AccessPackageCatalog/beedadfe-01d5-4025-910b-84abb9369997。 必须指定 appScopeId 或 directoryScopeId 。 |
| directoryScopeId | 字符串 | 必需。 表示分配范围的 目录对象的 标识符。 分配的范围确定向其授予主体访问权限的资源集。 目录范围是存储在目录中的共享范围,这些共享范围由多个应用程序理解,这与仅由资源应用程序定义和理解的应用范围不同。 对于目录 (Microsoft Entra ID) 提供程序,此属性支持以下格式: / 租户范围/administrativeUnits/{administrativeunit-ID} 将范围限定为管理单元/{application-objectID} 将范围限定为资源应用程序对于权利管理提供程序, / 适用于租户范围。 若要将范围限定为访问包目录,请使用 appScopeId 属性。 必须指定 appScopeId 或 directoryScopeId 。 |
| principalId | 字符串 | 必需。 向其授予分配的主体的标识符。 |
| roleDefinitionId | String | 分配所针对的 unifiedRoleDefinition 的标识符。 只读。 支持 $filter (eq、 in) 。 |