在 Azure Active Directory 中向企业应用分配用户或组

若要将用户或组分配到企业应用,必须具有适当的权限才能管理企业应用,并且必须是目录的全局管理员。

Note

有关本文中讨论的功能的许可要求,请参阅 Azure Active Directory 定价页

Note

对于 Microsoft 应用程序(例如 Office 365 应用),请使用 PowerShell 将用户分配到企业应用。

将用户分配到应用 - 门户

  1. 使用目录全局管理员的帐户登录到 Azure 门户
  2. 选择“所有服务”,在文本框中输入 Azure Active Directory,并选择“Enter”。
  3. 选择“企业应用程序”。

    打开企业应用

  4. 在“企业应用程序”边栏选项卡中,选择“所有应用程序”。 随后会列出你可以管理的应用。
  5. 在在“企业应用程序 - 所有应用程序”边栏选项卡中,选择一个应用。
  6. 在“appname”边栏选项卡(即标题中包含所选应用名称的边栏选项卡)中,选择“用户和组”。

    选择“所有应用程序”命令

  7. 在“appname - 用户和组分配”边栏选项卡中,选择“添加”命令。
  8. 在“添加分配”边栏选项卡中,选择“用户和组”。

    将用户或组分配给应用

  9. 在“用户和组”边栏选项卡的列表中选择一个或多个用户或组,并选择边栏选项卡底部的“选择”按钮。
  10. 在“添加分配”边栏选项卡中,选择“角色”。 然后,在“选择角色”边栏选项卡中选择一个需要应用到所选用户或组的角色,再选择边栏选项卡底部的“确定”按钮。
  11. 在“添加分配”边栏选项卡中,选择边栏选项卡底部的“分配”按钮。 已分配用户或组的权限将是该企业应用的选定角色所定义的权限。

如何使用 PowerShell 将用户分配到企业应用?

  1. 以提升的权限打开 Windows PowerShell 命令提示符。

    Note

    需要安装 AzureAD 模块(使用命令 Install-Module -Name AzureAD)。 出现安装 NuGet 模块或新的 Azure Active Directory V2 PowerShell 模块的提示时,请键入 Y,然后按 ENTER。

  2. 运行 Connect-AzureAD -AzureEnvironmentName AzureChinaCloud 并使用全局管理员用户帐户登录。

  3. 使用以下脚本将用户和角色分配到应用程序:

    # Assign the values to the variables
    $username = "<You user's UPN>"
    $app_name = "<Your App's display name>"
    $app_role_name = "<App role display name>"
    
    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    

有关如何将用户分配到应用程序角色的详细信息,请访问 New-AzureADUserAppRoleAssignment 的文档

若要将组分配到企业应用,需要将 Get-AzureADUser 替换为 Get-AzureADGroup

示例

此示例使用 PowerShell 将用户 Britta Simon 分配到 Microsoft Workplace Analytics 应用程序。

  1. 在 PowerShell 中,将相应的值分配到变量 $username、$app_name 和 $app_role_name。

    # Assign the values to the variables
    $username = "britta.simon@contoso.com"
    $app_name = "Workplace Analytics"
    
  2. 在此示例中,我们并不确切地知道要将哪个应用程序角色名称分配给 Britta Simon。 运行以下命令,使用用户 UPN 和服务主体显示名称获取用户 ($user) 和服务主体 ($sp)。

    # Get the user to assign, and the service principal for the app to assign to
    $user = Get-AzureADUser -ObjectId "$username"
    $sp = Get-AzureADServicePrincipal -Filter "displayName eq '$app_name'"
    
  3. 运行命令 $sp.AppRoles,显示可用于 Workplace Analytics 应用程序的角色。 在此示例中,我们要为 Britta Simon 分配“分析员”(访问权限受限)角色。

    Workplace Analytics 角色

  4. 将角色名称分配到 $app_role_name 变量。

    # Assign the values to the variables
    $app_role_name = "Analyst (Limited access)"
    $appRole = $sp.AppRoles | Where-Object { $_.DisplayName -eq $app_role_name }
    
  5. 运行以下命令,将用户分配到应用角色:

    # Assign the user to the app role
    New-AzureADUserAppRoleAssignment -ObjectId $user.ObjectId -PrincipalId $user.ObjectId -ResourceId $sp.ObjectId -Id $appRole.Id
    

后续步骤