Creare e assegnare un ruolo personalizzato in Microsoft Entra ID

Questo articolo descrive come creare nuovi ruoli personalizzati in Microsoft Entra ID. Per le nozioni di base sui ruoli personalizzati, vedere la panoramica dei ruoli personalizzati. Il ruolo può essere assegnato solo a livello di directory o di risorsa di registrazione dell'app.

I ruoli personalizzati possono essere creati nella pagina Ruoli e amministratori dell'interfaccia di amministrazione di Microsoft Entra.

Prerequisiti

  • Licenza Microsoft Entra ID P1 o P2
  • Amministratore dei ruoli con privilegi o amministratore globale
  • Modulo Microsoft.Graph quando si usa PowerShell
  • Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Creare un ruolo nell'interfaccia di amministrazione di Microsoft Entra

Creare un nuovo ruolo personalizzato per concedere l'accesso per la gestione delle registrazioni di app

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un ruolo con privilegi Amministrazione istrator.

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

  3. Selezionare Nuovo ruolo personalizzato.

    Create or edit roles from the Roles and administrators page

  4. Nella scheda Generale specificare un nome e una descrizione per il ruolo e quindi fare clic su Avanti.

    provide a name and description for a custom role on the Basics tab

  5. Nella scheda Autorizzazioni selezionare le autorizzazioni necessarie per gestire le credenziali e le proprietà di base delle registrazioni di app. Per una descrizione dettagliata di ogni autorizzazione, vedere Sottotipi e autorizzazioni di registrazione dell'applicazione in Microsoft Entra ID.

    1. Immettere prima "credentials" nella barra di ricerca e selezionare l'autorizzazione microsoft.directory/applications/credentials/update.

      Select the permissions for a custom role on the Permissions tab

    2. Immettere quindi "basic" nella barra di ricerca, selezionare l'autorizzazione microsoft.directory/applications/basic/update e quindi fare clic su Avanti.

  6. Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

Il ruolo personalizzato sarà visualizzato nell'elenco dei ruoli disponibili da assegnare.

Creare un ruolo con PowerShell

Eseguire l'accesso

Usare il comando Connessione-MgGraph per accedere al tenant.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Creare il ruolo personalizzato

Creare un nuovo ruolo con lo script PowerShell seguente:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assegnare il ruolo personalizzato usando PowerShell

Assegnare il ruolo con lo script PowerShell seguente:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Creare un ruolo con l'API Microsoft Graph

  1. Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Corpo

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Nota

    "templateId": "GUID" è un parametro facoltativo inviato nel corpo a seconda del requisito. Se è necessario creare più ruoli personalizzati diversi con parametri comuni, è consigliabile creare un modello e definire un templateId valore. È possibile generare un templateId valore in anticipo usando il cmdlet (New-Guid).Guiddi PowerShell .

  2. Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Corpo

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Assegnare un ruolo personalizzato con ambito limitato a una risorsa

Analogamente ai ruoli predefiniti, i ruoli personalizzati vengono assegnati per impostazione predefinita a livello di organizzazione predefinita per concedere autorizzazioni di accesso per tutte le registrazioni di app dell'organizzazione. Inoltre, i ruoli personalizzati e alcuni ruoli predefiniti pertinenti (a seconda del tipo di risorsa Microsoft Entra) possono essere assegnati anche nell'ambito di una singola risorsa Microsoft Entra. In questo modo, è possibile concedere all'utente l'autorizzazione per aggiornare le credenziali e le proprietà di base di una singola app senza dover creare un secondo ruolo personalizzato.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno uno sviluppatore di applicazioni.

  2. Passare a Applicazioni> di identità>Registrazioni app.

  3. Selezionare la registrazione dell'app a cui si concede l'accesso per la gestione. Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

    Select the app registration as a resource scope for a role assignment

  4. Nella registrazione dell'app selezionare Ruoli e amministratori. Se non è stato ancora creato un ruolo, tornare alle istruzioni nella procedura precedente.

  5. Selezionare il ruolo per aprire la pagina Assegnazioni.

  6. Selezionare Aggiungi assegnazione per aggiungere un utente. All'utente verranno assegnate tutte le autorizzazioni limitatamente alla registrazione dell'app selezionata.

Passaggi successivi