Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당

  • 아티클

이 문서에서는 Microsoft Entra ID에서 새 사용자 지정 역할을 만드는 방법을 설명합니다. 사용자 지정 역할의 기본 사항은 사용자 지정 역할 개요를 참조하세요. 역할은 디렉터리 수준 범위 또는 앱 등록 리소스 범위에서만 할당할 수 있습니다.

사용자 지정 역할은 Microsoft Entra 관리 센터의 역할 및 관리자 페이지에서 만들 수 있습니다.

필수 조건

  • Microsoft Entra ID P1 또는 P2 라이선스
  • 권한 있는 역할 관리자 또는 전역 관리자
  • PowerShell 사용 시 Microsoft.Graph 모듈
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

Microsoft Entra 관리 센터에서 역할 만들기

앱 등록 관리에 대한 액세스 권한을 부여하는 새 사용자 지정 역할 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 새 사용자 지정 역할을 선택합니다.

    Create or edit roles from the Roles and administrators page

  4. 기본 탭에서 역할의 이름과 설명을 입력한 후, 다음을 클릭합니다.

    provide a name and description for a custom role on the Basics tab

  5. 권한 탭에서 앱 등록의 기본 속성 및 자격 증명 속성을 관리하는 데 필요한 권한을 선택합니다. 각 권한에 대한 자세한 설명은 Microsoft Entra ID의 애플리케이션 등록 하위 유형 및 권한을 참조하세요.

    1. 먼저 검색 창에 "자격 증명"을 입력하고 microsoft.directory/applications/credentials/update 권한을 선택합니다.

      Select the permissions for a custom role on the Permissions tab

    2. 그런 다음, 검색 창에 "기본"을 입력하고 microsoft.directory/applications/basic/update 권한을 선택한 후, 다음을 클릭합니다.

  6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

사용자 지정 역할이 할당할 수 있는 역할 목록에 표시됩니다.

PowerShell을 사용하여 역할 만들기

로그인

커넥트-MgGraph 명령을 사용하여 테넌트에 로그인합니다.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

PowerShell을 사용하여 사용자 지정 역할 할당

아래 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Microsoft Graph API를 사용하여 역할 만들기

  1. Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    본문

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    참고 항목

    "templateId": "GUID"는 요구 사항에 따라 본문에 전송되는 선택적 매개 변수입니다. 공통 매개 변수를 사용하여 서로 다른 사용자 지정 역할을 여러 개 만들어야 하는 경우 템플릿을 만들고 templateId 값을 정의하는 것이 가장 좋습니다. PowerShell cmdlet (New-Guid).Guid를 사용하여 미리 templateId 값을 생성할 수 있습니다.

  2. Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    본문

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

리소스에 범위가 지정된 사용자 지정 역할 할당

기본 제공 역할과 마찬가지로 사용자 지정 역할은 기본적으로 조직 전체의 기본 범위에서 할당되어 조직의 모든 앱 등록에 대한 액세스 권한을 부여합니다. 또한 Microsoft Entra 리소스의 유형에 따라 사용자 지정 역할 및 일부 관련 기본 제공 역할은 단일 Microsoft Entra 리소스의 범위에서 할당될 수도 있습니다. 이를 통해 두 번째 사용자 지정 역할을 만들지 않고도 단일 앱의 자격 증명 및 기본 속성을 업데이트할 수 있는 권한을 사용자에게 부여할 수 있습니다.

  1. 최소한 애플리케이션 개발자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>애플리케이션>앱 등록으로 이동합니다.

  3. 관리 권한을 부여하는 앱 등록을 선택합니다. Microsoft Entra 조직에서 앱 등록의 전체 목록을 보려면 모든 애플리케이션을 선택해야 할 수도 있습니다.

    Select the app registration as a resource scope for a role assignment

  4. 앱 등록에서 역할 및 관리자를 선택합니다. 아직 만들지 않은 경우 지침은 이전 절차에 있습니다.

  5. 역할을 선택하여 할당 페이지를 엽니다.

  6. 할당 추가를 선택하여 사용자를 추가합니다. 사용자에게는 선택한 앱 등록에 대해서만 권한이 부여됩니다.

다음 단계