Assegna il ruolo specificato del controllo degli accessi in base al ruolo all'entità specificata nell'ambito specificato.
Il cmdlet può chiamare sotto l'API Microsoft Graph in base ai parametri di input:
GET /utenti/{id}
GET /servicePrincipals/{id}
GET /groups/{id}
GET /directoryObjects/{id}
Si noti che questo cmdlet contrassegnerà ObjectType come Unknown nell'output se l'oggetto dell'assegnazione di ruolo non viene trovato o l'account corrente dispone di privilegi insufficienti per ottenere il tipo di oggetto.
Usare il comando New-AzRoleAssignment per concedere l'accesso.
L'accesso viene concesso assegnando loro il ruolo controllo degli accessi in base al ruolo appropriato nell'ambito corretto.
Per concedere l'accesso all'intera sottoscrizione, assegnare un ruolo nell'ambito della sottoscrizione.
Per concedere l'accesso a un gruppo di risorse specifico all'interno di una sottoscrizione, assegnare un ruolo nell'ambito del gruppo di risorse.
È necessario specificare l'oggetto dell'assegnazione.
Per specificare un utente, usare i parametri SignInName o Microsoft Entra ObjectId.
Per specificare un gruppo di sicurezza, usare il parametro ObjectId di Microsoft Entra.
E per specificare un'applicazione Microsoft Entra, usare i parametri ApplicationId o ObjectId.
Il ruolo assegnato deve essere specificato usando il parametro RoleDefinitionName.
È possibile specificare l'ambito in cui viene concesso l'accesso.
L'impostazione predefinita è la sottoscrizione selezionata.
L'ambito dell'assegnazione può essere specificato usando una delle combinazioni di parametri seguenti.
Ambito: ambito completo a partire da /subscriptions/<subscriptionId> b.
ResourceGroupName: per concedere l'accesso al gruppo di risorse specificato.
c.
ResourceName, ResourceType, ResourceGroupName e (facoltativamente) ParentResource: per specificare una determinata risorsa all'interno di un gruppo di risorse a cui concedere l'accesso.
Concedere l'amministratore dell'accesso utente a una sottoscrizione di Azure con delega vincolata.
La delega vincolata consentirà solo che l'utente delegato/entità servizio/gruppo possa creare/eliminare/aggiornare nuove assegnazioni di ruolo solo per un'entità servizio e per qualsiasi ruolo.
Esempio 7
$Condition = '(
(
!(ActionMatches{''Microsoft.Authorization/roleAssignments/write''})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
AND
NOT @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635,18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
)
)
AND
(
(
!(ActionMatches{''Microsoft.Authorization/roleAssignments/delete''})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] StringEqualsIgnoreCase ''ServicePrincipal''
AND
NOT @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635,18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
)
)'
$DelegationParams = @{
AllowDelegation = $true
Condition = $Condition
Scope = "/subscriptions/11112222-bbbb-3333-cccc-4444dddd5555"
RoleDefinitionName = 'User Access Administrator'
ObjectId = "00001111-aaaa-2222-bbbb-3333cccc4444"
}
New-AzRoleAssignment @DelegationParams
Concedere l'amministratore dell'accesso utente a una sottoscrizione di Azure con delega vincolata.
La delega vincolata consentirà solo che l'utente o l'entità servizio o il gruppo delegato possano creare/eliminare/aggiornare nuove assegnazioni di ruolo per un'entità servizio, escluse le proprietario e ruolo di amministratore accesso utenti.
Parametri
-AllowDelegation
Flag di delega durante la creazione di un'assegnazione di ruolo.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithObjectIdParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithObjectIdParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
RoleIdWithScopeAndObjectIdParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ScopeWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSPNParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSPNParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ScopeWithSPNParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-ParentResource
Risorsa padre nella gerarchia(della risorsa specificata usando il parametro ResourceName).
Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e ResourceName per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSPNParameterSet
Posizione:
Named
Obbligatorio:
False
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-ResourceGroupName
Nome del gruppo di risorse.
Crea un'assegnazione effettiva nel gruppo di risorse specificato.
Se usato insieme ai parametri ResourceName, ResourceType e (facoltativamente)ParentResource, il comando costruisce un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithObjectIdParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-ResourceName
Nome della risorsa.
Ad esempio storageaccountprod.
Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceType e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-ResourceType
Tipo di risorsa.
Ad esempio Microsoft.Network/virtualNetworks.
Deve essere usato solo insieme ai parametri ResourceGroupName, ResourceName e (facoltativamente)ParentResource per costruire un ambito gerarchico sotto forma di URI relativo che identifica una risorsa.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-RoleDefinitionName
Nome del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità di sicurezza, ad esempio Lettore, Collaboratore, Amministratore rete virtuale e così via.
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithObjectIdParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithObjectIdParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ScopeWithSignInNameParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceGroupWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ResourceWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
ScopeWithSPNParameterSet
Posizione:
Named
Obbligatorio:
True
Valore dalla pipeline:
False
Valore dalla pipeline in base al nome della proprietà:
True
Valore dagli argomenti rimanenti:
False
-Scope
Ambito dell'assegnazione di ruolo.
Nel formato dell'URI relativo.
Ad esempio, "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG".
Se non specificato, creerà l'assegnazione di ruolo a livello di sottoscrizione.
Se specificato, deve iniziare con "/subscriptions/{id}".
Valore dalla pipeline in base al nome della proprietà:
False
Valore dagli argomenti rimanenti:
False
CommonParameters
Questo cmdlet supporta i parametri comuni: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Per altre informazioni, vedi about_CommonParameters.
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
