Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft

  • Artykuł

W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Microsoft Entra ID. Aby zapoznać się z podstawowymi rolami niestandardowymi, zobacz omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.

Role niestandardowe można tworzyć na stronie Role i administratorzy centrum administracyjnego firmy Microsoft Entra.

Wymagania wstępne

  • Licencja Microsoft Entra ID P1 lub P2
  • Administrator ról uprzywilejowanych lub administrator globalny
  • Moduł Microsoft.Graph podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie roli w centrum administracyjnym firmy Microsoft Entra

Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

  3. Wybierz pozycję Nowa rola niestandardowa.

    Create or edit roles from the Roles and administrators page

  4. Na karcie Podstawy podaj nazwę i opis roli, a następnie kliknij przycisk Dalej.

    provide a name and description for a custom role on the Basics tab

  5. Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania właściwościami podstawowymi i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

    1. Najpierw wprowadź "poświadczenia" na pasku wyszukiwania i wybierz microsoft.directory/applications/credentials/update uprawnienie.

      Select the permissions for a custom role on the Permissions tab

    2. Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz microsoft.directory/applications/basic/update uprawnienie, a następnie kliknij przycisk Dalej.

  6. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.

Tworzenie roli przy użyciu programu PowerShell

Zaloguj się

Użyj polecenia Połączenie-MgGraph, aby zalogować się do dzierżawy.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Przypisywanie roli niestandardowej przy użyciu programu PowerShell

Przypisz rolę przy użyciu poniższego skryptu programu PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Tworzenie roli za pomocą interfejsu API programu Microsoft Graph

  1. Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    Treść

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    Uwaga

    Jest "templateId": "GUID" to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej utworzyć szablon i zdefiniować templateId wartość. Wartość można wygenerować templateId wcześniej za pomocą polecenia cmdlet (New-Guid).Guidprogramu PowerShell .

  2. Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    Treść

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Przypisywanie roli niestandardowej o zakresie do zasobu

Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie w całej organizacji w celu udzielenia uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  3. Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.

    Select the app registration as a resource scope for a role assignment

  4. W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.

  5. Wybierz rolę, aby otworzyć stronę Przypisania .

  6. Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszelkie uprawnienia tylko do wybranej rejestracji aplikacji.

Następne kroki

  • Możesz się z nami podzielić na forum ról administracyjnych firmy Microsoft Entra.
  • Aby uzyskać więcej informacji na temat uprawnień ról, zobacz Wbudowane role firmy Microsoft.
  • Aby uzyskać domyślne uprawnienia użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.