Question

我已经创建了一个自定义Azure AD角色，用于读取目录中的服务主体。这样一来，用户可以进行故障排除而无需寻求其他支持。但是，我无法将此自定义角色分配给整个安全组。如何将此角色分配给组中的所有用户？

Answer 1

您可以使用Powershell将此角色分配给该组中的所有用户，请尝试以下脚本。

首先，您需要安装AzureADPreview powershell模块。

Install-Module -Name AzureADPreview

Connect-AzureAD

$members = Get-AzureADGroupMember -ObjectId "<ObjectId of the Security Group>"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq '<Custom role name>'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'joyttt'"
$resourceScope = '/' + $appRegistration.objectId

foreach($member in $members){
    New-AzureADMSRoleAssignment -ResourceScope $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $member.ObjectId
}

参考-https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/roles-create-custom#assign-the-custom-role-using-azure-ad-powershell

将自定义Azure AD角色分配给安全组

1 个答案: