Een aangepaste rol maken en toewijzen in Microsoft Entra-id

In dit artikel wordt beschreven hoe u nieuwe aangepaste rollen maakt in Microsoft Entra-id. Zie het overzicht van aangepaste rollen voor de basisbeginselen van aangepaste rollen. De rol kan alleen worden toegewezen aan het bereik op mapniveau of een resourcebereik voor app-registratie.

Aangepaste rollen kunnen worden gemaakt op de pagina Rollen en beheerders van het Microsoft Entra-beheercentrum.

Vereisten

• Licentie voor Microsoft Entra ID P1 of P2
• Beheerder van bevoorrechte rol of globale beheerder
• Microsoft.Graph-module bij gebruik van PowerShell
• U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Een rol maken in het Microsoft Entra-beheercentrum

Een nieuwe aangepaste rol maken om toegang te verlenen tot het beheren van app-registraties

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

3. Selecteer Nieuwe aangepaste rol.

   

4. Geef op het tabblad Basis een naam en beschrijving op voor de rol en klik vervolgens op Volgende.

   

5. Selecteer op het tabblad Machtigingen de machtigingen die nodig zijn om basiseigenschappen en referentie-eigenschappen van app-registraties te beheren. Zie Subtypen en machtigingen voor toepassingsregistratie in Microsoft Entra-id voor een gedetailleerde beschrijving van elke machtiging.

   1. Voer eerst 'referenties' in de zoekbalk in en selecteer de microsoft.directory/applications/credentials/update-machtiging.

      

   2. Voer vervolgens 'basis' in de zoekbalk in, selecteer de microsoft.directory/applications/basic/update-machtiging en klik vervolgens op Volgende.

6. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

Uw aangepaste rol wordt weergegeven in de lijst met beschikbare rollen die kunnen worden toegewezen.

Een rol maken met PowerShell

Aanmelden

Gebruik de opdracht Verbinding maken-MgGraph om u aan te melden bij uw tenant.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

De aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

De aangepaste rol toewijzen met behulp van PowerShell

De rol toewijzen met behulp van het onderstaande PowerShell-script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Een rol maken met de Microsoft Graph API

1. Gebruik de API unifiedRoleDefinition maken om een aangepaste rol te maken.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Tekst

   {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
   }
   

   Notitie

   Het "templateId": "GUID" is een optionele parameter die in de hoofdtekst wordt verzonden, afhankelijk van de vereiste. Als u meerdere aangepaste rollen met algemene parameters moet maken, kunt u het beste een sjabloon maken en een templateId-waarde definiëren. U kunt vooraf een templateId-waarde genereren met behulp van de PowerShell-cmdlet (New-Guid).Guid.

2. Gebruik de API unifiedRoleDefinition maken om een aangepaste toe te wijzen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Tekst

   {
       "principalId":"<GUID OF USER>",
       "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
       "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Een aangepaste rol toewijzen aan een resource

Net als ingebouwde rollen worden aangepaste rollen standaard toegewezen aan het standaardbereik voor de hele organisatie om toegangsmachtigingen te verlenen voor alle app-registraties in uw organisatie. Daarnaast kunnen aangepaste rollen en enkele relevante ingebouwde rollen (afhankelijk van het type Microsoft Entra-resource) ook worden toegewezen aan het bereik van één Microsoft Entra-resource. Hiermee kunt u de gebruiker toestemming geven om referenties en basiseigenschappen van één app bij te werken zonder dat u een tweede aangepaste rol hoeft te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassingsontwikkelaar.

2. Blader naar identiteitstoepassingen>> App-registraties.

3. Selecteer de app-registratie waaraan u toegang verleent om te beheren. Mogelijk moet u alle toepassingen selecteren om de volledige lijst met app-registraties in uw Microsoft Entra-organisatie weer te geven.

   

4. Selecteer Rollen en beheerders in de app-registratie. Als u er nog geen hebt gemaakt, vindt u instructies in de voorgaande procedure.

5. Selecteer de rol om de pagina Toewijzingen te openen.

6. Selecteer Toewijzing toevoegen om een gebruiker toe te voegen. De gebruiker krijgt alleen machtigingen voor de geselecteerde app-registratie.

Volgende stappen

• U kunt dit delen met ons op het Microsoft Entra-beheerrollenforum.
• Zie ingebouwde rollen van Microsoft Entra voor meer informatie over rolmachtigingen.
• Raadpleeg vergelijking van standaardmachtigingen voor gasten en ledenvoor meer informatie over de standaard gebruikersmachtigingen.