Экспорт (0) Печать
Развернуть все

Windows Azure AD Graph и управление доступом на основе ролей

Обновлено: Ноябрь 2013 г.

В этом разделе описано управление доступом на основе ролей, которое используется для ограничения доступа к объектам Windows Azure AD при работе с Windows Azure AD Graph.

Windows Azure AD Graph использует роли клиента Windows Azure AD для управления доступом к сущностям Windows Azure AD. Можно добавить участника службы, представляющего приложение, в одну из приведенных в следующей таблице встроенных ролей, чтобы предоставить доступ для чтения и записи либо только для чтения к существующим в организации сущностям Windows Azure AD.

 

Роль Windows Azure AD Разрешения Windows Azure AD Graph

Администратор управления пользователями

Полные разрешения на чтение и запись для объектов каталога, за исключением участников службы и учетных записей в роли администратора компании. Не может добавлять, удалять или обновлять учетные записи в роли администратора компании.

Читатели каталога

Разрешения только для чтения.

Командлет Windows PowerShell Office 365 Add-MsolRoleMember служит для добавления участника службы в одну из встроенных ролей. (С помощью командлета Get-MsolServicePrincipal можно получить ObjectId участника службы для передачи в параметр RoleMemberObjectId.)

Add-MsolRoleMember -RoleName "User Account Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId d71 … ea
ImportantВажно!
Параметр RoleMemberType необходимо указывать при добавлении участника службы к роли. В противном случае возникнет ошибка.

ImportantВажно!
Для добавления участника службы в роль требуется быть членом роли администратора компании.

Подробнее о командлетах Powershell Office 365, используемых для управления членством в группах и ролях, см. в разделе Управление членством в группах и ролях. Дополнительные сведения о создании участника службы см. в разделе Проверка подлинности Windows Azure AD Graph.

Показ:
© 2014 Microsoft