Creación y asignación de un rol personalizado en Microsoft Entra ID
En este artículo se describe cómo crear nuevos roles personalizados en Microsoft Entra ID. Para conocer los aspectos básicos de los roles personalizados, consulte la información general sobre roles personalizados. El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente.
Los roles personalizados se pueden crear en la página Roles y administradores del centro de administración de Microsoft Entra.
Requisitos previos
- Una licencia de Microsoft Entra ID P1 o P2
- Administrador global o administrador de roles con privilegios
- Módulo Microsoft.Graph cuando se usa PowerShell
- Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API
Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.
Creación de un rol en el centro de administración de Microsoft Entra
Creación de un rol personalizado para conceder acceso para administrar los registros de aplicaciones
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Identidad>Roles y administradores>Roles y administradores.
Seleccione Nuevo rol personalizado.
En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol y, luego, haga clic en Siguiente.
En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para una descripción detallada de cada permiso, consulte Permisos y subtipos del registro de aplicaciones en Microsoft Entra ID.
En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso
microsoft.directory/applications/credentials/update
.A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso
microsoft.directory/applications/basic/update
y, luego, haga clic en Siguiente.
En la pestaña Revisar y crear, revise los detalles y seleccione Crear.
El rol personalizado se mostrará en la lista de los roles disponibles para asignar.
Creación de un rol con PowerShell
Iniciar sesión
Use el comando Connect-MgGraph para iniciar sesión en su inquilino.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Creación del rol personalizado
Cree un nuevo rol mediante el siguiente script de PowerShell:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Asignación del rol personalizado con PowerShell
Asigne el rol mediante el siguiente script de PowerShell:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Creación de un rol con Microsoft Graph API
Use Create unifiedRoleDefinition API para crear un rol personalizado.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Body
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Nota:
El valor
"templateId": "GUID"
es un parámetro opcional que se envía al cuerpo según el requisito. Si tiene un requisito para crear varios roles personalizados con parámetros comunes, es mejor crear una plantilla y definir un valortemplateId
. Puede generar un valortemplateId
de antemano mediante el cmdlet de PowerShell(New-Guid).Guid
.Use Create unifiedRoleAssignment API para asignar el rol personalizado.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Body
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Asignación de un rol personalizado con ámbito de un recurso
Al igual que los roles integrados, los roles personalizados se asignan de forma predeterminada en el ámbito predeterminado de toda la organización para conceder permisos de acceso a todos los registros de aplicaciones de la organización. Además, los roles personalizados y algunos roles integrados pertinentes (según el tipo de recurso de Microsoft Entra) también se pueden asignar en el ámbito de un único recurso de Microsoft Entra. Esto le permite entregar al usuario el permiso para actualizar las credenciales y las propiedades básicas de una aplicación única sin la necesidad de crear un segundo rol personalizado.
Inicie sesión en el centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.
Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.
Seleccione el registro de aplicaciones al que se concede acceso para administrar. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.
En el registro de aplicaciones, seleccione Roles y administradores. Si todavía no crea uno, puede encontrar instrucciones sobre cómo hacerlo en el procedimiento anterior.
Seleccione el rol para abrir la página Asignaciones.
Seleccione Agregar asignación para agregar un usuario. Al usuario se le concederán permisos únicamente sobre el registro de aplicaciones seleccionado.
Pasos siguientes
- No dude en hacernos llegar sus comentarios en el foro de roles administrativos de Microsoft Entra.
- Para obtener más información sobre los permisos de rol, consulte Roles integrados de Microsoft Entra.
- Para conocer los permisos predeterminados de usuario, vea una comparación de los permisos predeterminados de usuario miembro e invitado.