Creación y asignación de un rol personalizado en Microsoft Entra ID

  • Artículo

En este artículo se describe cómo crear nuevos roles personalizados en Microsoft Entra ID. Para conocer los aspectos básicos de los roles personalizados, consulte la información general sobre roles personalizados. El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente.

Los roles personalizados se pueden crear en la página Roles y administradores del centro de administración de Microsoft Entra.

Requisitos previos

  • Una licencia de Microsoft Entra ID P1 o P2
  • Administrador global o administrador de roles con privilegios
  • Módulo Microsoft.Graph cuando se usa PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Creación de un rol en el centro de administración de Microsoft Entra

Creación de un rol personalizado para conceder acceso para administrar los registros de aplicaciones

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

  3. Seleccione Nuevo rol personalizado.

    Create or edit roles from the Roles and administrators page

  4. En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol y, luego, haga clic en Siguiente.

    provide a name and description for a custom role on the Basics tab

  5. En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para una descripción detallada de cada permiso, consulte Permisos y subtipos del registro de aplicaciones en Microsoft Entra ID.

    1. En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso microsoft.directory/applications/credentials/update.

      Select the permissions for a custom role on the Permissions tab

    2. A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso microsoft.directory/applications/basic/update y, luego, haga clic en Siguiente.

  6. En la pestaña Revisar y crear, revise los detalles y seleccione Crear.

El rol personalizado se mostrará en la lista de los roles disponibles para asignar.

Creación de un rol con PowerShell

Iniciar sesión

Use el comando Connect-MgGraph para iniciar sesión en su inquilino.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Creación del rol personalizado

Cree un nuevo rol mediante el siguiente script de PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Asignación del rol personalizado con PowerShell

Asigne el rol mediante el siguiente script de PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Creación de un rol con Microsoft Graph API

  1. Use Create unifiedRoleDefinition API para crear un rol personalizado.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    Body

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    Nota:

    El valor "templateId": "GUID" es un parámetro opcional que se envía al cuerpo según el requisito. Si tiene un requisito para crear varios roles personalizados con parámetros comunes, es mejor crear una plantilla y definir un valor templateId. Puede generar un valor templateId de antemano mediante el cmdlet de PowerShell (New-Guid).Guid.

  2. Use Create unifiedRoleAssignment API para asignar el rol personalizado.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    Body

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Asignación de un rol personalizado con ámbito de un recurso

Al igual que los roles integrados, los roles personalizados se asignan de forma predeterminada en el ámbito predeterminado de toda la organización para conceder permisos de acceso a todos los registros de aplicaciones de la organización. Además, los roles personalizados y algunos roles integrados pertinentes (según el tipo de recurso de Microsoft Entra) también se pueden asignar en el ámbito de un único recurso de Microsoft Entra. Esto le permite entregar al usuario el permiso para actualizar las credenciales y las propiedades básicas de una aplicación única sin la necesidad de crear un segundo rol personalizado.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. Seleccione el registro de aplicaciones al que se concede acceso para administrar. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.

    Select the app registration as a resource scope for a role assignment

  4. En el registro de aplicaciones, seleccione Roles y administradores. Si todavía no crea uno, puede encontrar instrucciones sobre cómo hacerlo en el procedimiento anterior.

  5. Seleccione el rol para abrir la página Asignaciones.

  6. Seleccione Agregar asignación para agregar un usuario. Al usuario se le concederán permisos únicamente sobre el registro de aplicaciones seleccionado.

Pasos siguientes