Test-ServicePrincipalAuthorization

  • Referenz
Modul:
ExchangePowerShell
Gilt für::
Exchange Online, Exchange Online Protection

Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.

Verwenden Sie das Cmdlet Test-ServicePrincipalAuthorization, um den Zugriff zu testen, der von der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Anwendungen gewährt wird. Weitere Informationen finden Sie unter Rollenbasierte Access Control für Anwendungen in Exchange Online.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

Test-ServicePrincipalAuthorization
    [-Identity] <ServicePrincipalIdParameter>
    [-Confirm]
    [-Resource <UserIdParameter>]
    [-WhatIf]
    [<CommonParameters>]

Beschreibung

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Beispiele

Beispiel 1

PS C:\> Test-ServicePrincipalAuthorization -Identity "DemoB" -Resource "Mailbox A" | Format-Table

RoleName                      GrantedPermissions          AllowedResourceScope        ScopeType                 InScope
--------                      ------------------          --------------------        ---------                 ------
Application Mail.Read         Mail.Read                   Canadian Employees           CustomRecipientScope     True
Application Calendars.Read    Calendars.Read              4d819ce9-9257-44..           AdministrativeUnit       False
Application Contacts.Read     Contacts.Read               Organization                 Organization             True

In diesem Beispiel wird getestet, ob dieser Dienstprinzipal (die App mit dem Namen "DemoB") jede der zugewiesenen Berechtigungen für das Zielpostfach mit dem Namen "Postfach A" ausüben kann. Die Mitgliedschaft im Bereich wird durch die Spalte InScope angegeben.

Beispiel 2

PS C:\> Test-ServicePrincipalAuthorization -Identity "DemoB" | Format-Table

RoleName                      GrantedPermissions          AllowedResourceScope        ScopeType                 InScope
--------                      ------------------          --------------------        ---------                 ------
Application Mail.Read         Mail.Read                   Canadian Employees           CustomRecipientScope     Not Run
Application Calendars.Read    Calendars.Read              4d819ce9-9257-44..           AdministrativeUnit       Not Run
Application Contacts.Read     Contacts.Read               Organization                 Organization             Not Run

In diesem Beispiel wird die Berechtigung der App mit dem Namen "DemoB" getestet, einschließlich der Berechtigungen, über die sie in welchen Bereichen verfügt. Da der Befehl den Resource-Parameter nicht verwendet, wird die Überprüfung der Bereichsmitgliedschaft nicht ausgeführt.

Parameter

-Confirm

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Identity

Der Identity-Parameter gibt den Dienstprinzipal an, den Sie testen möchten. Sie können einen beliebigen Wert verwenden, der den Dienstprinzipal eindeutig identifiziert. Zum Beispiel:

  • Name
  • Distinguished Name (DN)
  • GUID
  • Appid
  • ServiceId
Type:ServicePrincipalIdParameter
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Resource

Der Parameter Resource gibt das Zielpostfach an, in dem die bereichsbezogenen Berechtigungen gelten. Sie können jeden beliebigen Wert verwenden, sofern er das Postfach eindeutig kennzeichnet. Beispiel:

  • Name
  • Distinguished Name (DN)
  • Distinguished Name (DN)
  • GUID
Type:UserIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection