Azure AD - 通过 Powershell 自定义应用程序角色

Question

我一直在 Azure AD 中使用 RBAC，特别是自定义应用程序角色。

一切正常，但有点手动，即下载、编辑和上传清单，然后通过管理门户将每个 user/group 分配给其中一个角色。

有没有办法通过 powershell 甚至代码来做到这一点，比如图表 API？

如果不是，我认为这是一个计划中的功能，所以有人知道可能的 ETA 吗？

Answer 1

在使用 Windows PowerShell 管理 RBAC 之前，您必须具备以下条件：

Windows PowerShell，版本 3.0 或 4.0。要查找 Windows PowerShell 的版本，请键入：$PSVersionTable 并验证 PSVersion 的值是 3.0 还是 4.0。

Azure PowerShell 版本 0.8.8 或更高版本。

要获取您在本教程中看到的任何 cmdlet 的详细帮助，请使用 Get-Help cmdlet。

Get-Help <cmdlet-name> -Detailed

例如，要获取有关 Add-AzureAccount cmdlet 的帮助，请键入：

Get-Help Add-AzureAccount -Detailed

由于 RBAC 仅适用于 Azure 资源管理器，首先要做的是切换到 Azure 资源管理器模式，键入：

PS C:\> Switch-AzureMode -Name AzureResourceManager

这里是完整教程

Answer 2

目前此功能无法通过 AAD PowerShell 模块使用，但最终会找到它的方式。我们正在努力尽快发布位于 ADAL 之上的新 PowerShell 模块，这意味着我们将很快制作直接针对图形的 cmdlet API。

目前，您可以使用 Graph 客户端库或纯 REST 调用进行直接查询。我相信此示例中应该提供设置应用程序角色的示例： https://github.com/Azure-Samples/active-directory-dotnet-graphapi-console

希望对您有所帮助！肖恩·塔布里齐

Azure AD - Custom Application Roles via Powershell