New-AzureADServiceAppRoleAssignment
Asigna un rol de aplicación a un usuario, un grupo u otra entidad de servicio.
Sintaxis
Default (Es el valor predeterminado).
New-AzureADServiceAppRoleAssignment
-ObjectId <String>
[-InformationAction <ActionPreference>]
[-InformationVariable <String>]
-Id <String>
-PrincipalId <String>
-ResourceId <String>
[<CommonParameters>]
Description
El cmdlet New-AzureADServiceAppRoleAssignment asigna un rol de aplicación de una entidad de servicio de recursos a un usuario, un grupo u otra entidad de servicio. Los roles de aplicación asignados a entidades de servicio también se conocen como permisos de aplicación.
Nota:
El comportamiento descrito aquí se aplica cuando Connect-AzureAD se llama sin ningún parámetro o mediante una identidad de aplicación propiedad de Microsoft. Consulta el Ejemplo 4 para obtener más información sobre la diferencia cuando se conecta mediante un registro de aplicación propiedad del cliente o una identidad de servicio.
Ejemplos
Ejemplo 1: Asignación de un rol de aplicación a otra entidad de servicio
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
En este ejemplo, a una entidad de servicio de cliente se le asigna un rol de aplicación (permiso de aplicación) definido por una entidad de servicio de recursos (por ejemplo, una API):
-
ObjectId: ObjectId de la entidad de servicio de recursos (por ejemplo, una API). -
ResourceId: ObjectId de la entidad de servicio de recursos (por ejemplo, una API). -
Id: identificador del rol de aplicación (definido en la entidad de servicio de recursos) que se va a asignar a la entidad de servicio cliente. Si no se han definido roles de aplicación en la aplicación de recursos, puede usar00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId de la entidad de servicio de cliente a la que se asigna el rol de aplicación.
Nota:
Este ejemplo se aplica cuando Connect-AzureAD se llama sin ningún parámetro. Consulte el ejemplo 4 para ver cómo se usa este cmdlet cuando se conecta mediante un registro de aplicación propiedad del cliente o una identidad de servicio.
Ejemplo 2: Asignación de un rol de aplicación a un usuario
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $user.ObjectId
En este ejemplo, a un usuario se le asigna un rol de aplicación definido por una aplicación de recursos:
-
ObjectId: ObjectId de la entidad de servicio de la aplicación. -
ResourceId: ObjectId de la entidad de servicio de la aplicación. -
Id: Identificador del rol de aplicación (definido en la entidad de servicio de la aplicación) que se va a asignar al usuario. Si no se ha definido ningún rol de aplicación para la aplicación de recursos, puede usarlo00000000-0000-0000-0000-000000000000para indicar que la aplicación está asignada al usuario. -
PrincipalId: ObjectId del usuario al que se asigna el rol de aplicación.
Nota:
Este ejemplo se aplica cuando Connect-AzureAD se llama sin ningún parámetro. Consulte el ejemplo 4 para ver cómo se usa este cmdlet cuando se conecta mediante un registro de aplicación propiedad del cliente o una identidad de servicio.
Ejemplo 3: Asignación de un rol de aplicación a un grupo
PS C:\> Connect-AzureAD
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $resource.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $group.ObjectId
En este ejemplo, a un grupo se le asigna un rol de aplicación definido por una aplicación de recursos. Se considera que a todos los usuarios que son miembros directos del grupo asignado se les asigna el rol de aplicación:
-
ObjectId: ObjectId de la entidad de servicio de la aplicación. -
ResourceId: ObjectId de la entidad de servicio de la aplicación. -
Id: Identificador del rol de aplicación (definido en la entidad de servicio de la aplicación) que se va a asignar al grupo. Si no se ha definido ningún rol de aplicación en la aplicación de recursos, puede usarlo00000000-0000-0000-0000-000000000000para indicar que la aplicación está asignada al grupo. -
PrincipalId: ObjectId del grupo al que se asigna el rol de aplicación.
Nota:
Este ejemplo se aplica cuando Connect-AzureAD se llama sin ningún parámetro. Consulte el ejemplo 4 para ver cómo se usa este cmdlet cuando se conecta mediante un registro de aplicación propiedad del cliente o una identidad de servicio.
Ejemplo 4: Cuando se conecta mediante una identidad de aplicación o servicio propiedad del cliente
PS C:\> Connect-AzureAD -TenantId $tenantOrDomain -ApplicationId $appId -CertificateThumbprint $thumb
PS C:\> New-AzureADServiceAppRoleAssignment -ObjectId $client.ObjectId -ResourceId $resource.ObjectId -Id $appRole.Id -PrincipalId $client.ObjectId
El comportamiento de este cmdlet cambia cuando se conecta al módulo de PowerShell de Azure AD mediante un registro de aplicación propiedad del cliente o una identidad de servicio, que incluye:
- Al conectarse como entidad de servicio, y
- Cuando se usa el
AadAccessTokenparámetro con un token de acceso obtenido para un registro de aplicación propiedad del cliente o una identidad de servicio.
En estas circunstancias, este cmdlet solo se usa para asignar un rol de aplicación a otra entidad de servicio, identificada por los ObjectId parámetros and PrincipalId :
-
ObjectId: ObjectId de la entidad de servicio de cliente a la que se asigna el rol de aplicación. -
ResourceId: ObjectId de la entidad de servicio de recursos (por ejemplo, una API). -
Id: identificador del rol de aplicación (definido en la entidad de servicio de recursos) que se va a asignar a la entidad de servicio cliente. Si no se han definido roles de aplicación en la aplicación de recursos, puede usar00000000-0000-0000-0000-000000000000. -
PrincipalId: ObjectId de la entidad de servicio de cliente a la que se asigna el rol de aplicación.
Cuando se conecta mediante una identidad de aplicación o servicio propiedad del cliente, use New-AzureADUserAppRoleAssignment y New-AzureADGroupAppRoleAssignment para crear asignaciones de roles de aplicación para un usuario y grupos, respectivamente.
Parámetros
-Id
Especifica el identificador del rol de aplicación (definido en la entidad de servicio de recursos) que se va a asignar. Si no se ha definido ningún rol de aplicación en la aplicación de recursos, puede usarlo 00000000-0000-0000-0000-000000000000 para indicar la asignación de la aplicación o servicio de recursos, sin especificar un rol de aplicación.
Propiedades del parámetro
| Tipo: | String |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | True |
| Valor de la canalización: | False |
| Valor de la canalización por nombre de propiedad: | False |
| Valor de los argumentos restantes: | False |
-InformationAction
Especifica cómo responde este cmdlet a un evento de información. Los valores aceptables para este parámetro son:
- Continue
- Ignorar
- Inquire
- ContinuarSilenciosamente
- Parar
- Suspender
Propiedades del parámetro
| Tipo: | ActionPreference |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
| Alias: | infa |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | False |
| Valor de la canalización: | False |
| Valor de la canalización por nombre de propiedad: | False |
| Valor de los argumentos restantes: | False |
-InformationVariable
Especifica una variable de información.
Propiedades del parámetro
| Tipo: | String |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
| Alias: | Iv |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | False |
| Valor de la canalización: | False |
| Valor de la canalización por nombre de propiedad: | False |
| Valor de los argumentos restantes: | False |
-ObjectId
Especifica el ObjectId de la entidad de servicio de recursos (como una aplicación o una API) que se va a asignar a un usuario, un grupo u otra entidad de servicio.
Propiedades del parámetro
| Tipo: | String |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | True |
| Valor de la canalización: | True |
| Valor de la canalización por nombre de propiedad: | True |
| Valor de los argumentos restantes: | False |
-PrincipalId
Especifica el ObjectId del usuario, grupo u otra entidad de servicio a la que se asigna el rol de aplicación.
Propiedades del parámetro
| Tipo: | String |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | True |
| Valor de la canalización: | False |
| Valor de la canalización por nombre de propiedad: | False |
| Valor de los argumentos restantes: | False |
-ResourceId
Especifica el ObjectId de la entidad de servicio de recursos (como una aplicación o una API) que se va a asignar a un usuario, un grupo u otra entidad de servicio.
Propiedades del parámetro
| Tipo: | String |
| Valor predeterminado: | None |
| Admite caracteres comodín: | False |
| DontShow: | False |
Conjuntos de parámetros
(All)
| Posición: | Named |
| Mandatory: | True |
| Valor de la canalización: | False |
| Valor de la canalización por nombre de propiedad: | False |
| Valor de los argumentos restantes: | False |
CommonParameters
Este cmdlet admite los parámetros comunes: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction y -WarningVariable. Para obtener más información, vea about_CommonParameters.
Notas
Consulte la guía de migración de New-AzureADServiceAppRoleAssignment a Microsoft Graph PowerShell.