Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra

  • Статья

В этой статье описывается создание новых пользовательских ролей в идентификаторе Microsoft Entra. Основные сведения о пользовательских ролях см. на этой странице. Роль можно назначать только в области действия уровня каталога или в области действия ресурса регистрации приложения.

Пользовательские роли можно создать на странице "Роли и администраторы " центра администрирования Microsoft Entra.

Необходимые компоненты

  • Лицензия Microsoft Entra ID P1 или P2
  • Глобальный администратор или администратор привилегированных ролей.
  • Модуль Microsoft.Graph при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Создание роли в Центре администрирования Microsoft Entra

Создание пользовательской роли с доступом для управления регистрацией приложений

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к ролям удостоверений>и администраторам.>

  3. Выберите новую настраиваемую роль.

    Create or edit roles from the Roles and administrators page

  4. На вкладке Основы введите имя и описание роли и нажмите кнопку Далее.

    provide a name and description for a custom role on the Basics tab

  5. На вкладке Разрешения выберите разрешения, необходимые для управления основными свойствами и свойствами учетных данных для регистрации приложений. Подробное описание каждого разрешения см. в подразделах регистрации приложений и разрешениях в идентификаторе Microsoft Entra.

    1. Сначала введите credentials в строке поиска и выберите разрешение microsoft.directory/applications/credentials/update.

      Select the permissions for a custom role on the Permissions tab

    2. Затем в строке поиска введите basic, выберите разрешение microsoft.directory/applications/basic/update и нажмите кнопку Далее.

  6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

Ваша пользовательская роль отобразится в списке доступных ролей для назначения.

Создание роли с помощью PowerShell

Вход

Используйте команду Подключение-MgGraph для входа в клиент.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Создание настраиваемой роли

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Назначьте пользовательскую роль с помощью PowerShell

Назначьте роль с помощью следующего скрипта PowerShell:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Создайте роль с помощью API Microsoft Graph

  1. Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

    Текст

    {
   "description": "Can manage basic aspects of application registrations.",
   "displayName": "Application Support Administrator",
   "isEnabled": true,
   "templateId": "<GUID>",
   "rolePermissions": [
       {
           "allowedResourceActions": [
               "microsoft.directory/applications/basic/update",
               "microsoft.directory/applications/credentials/update"
           ]
       }
   ]
}

    Примечание.

    Параметр "templateId": "GUID" является необязательным. Он отправляется в тексте запроса по мере необходимости. Если вам нужно создать несколько разных пользовательских ролей с общими параметрами, лучше всего создать шаблон и определить значение templateId. Вы можете создать значение templateId заранее с помощью командлета PowerShell (New-Guid).Guid.

  2. Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

    Текст

    {
    "principalId":"<GUID OF USER>",
    "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
    "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Назначение пользовательской роли, ограниченной областью действия ресурса

Как и встроенные роли, пользовательские роли назначаются по умолчанию в масштабах всей организации для предоставления разрешения на доступ для всех регистраций приложений в организации. Кроме того, пользовательские роли и некоторые соответствующие встроенные роли (в зависимости от типа ресурса Microsoft Entra) также можно назначить по область одного ресурса Microsoft Entra. Это позволяет предоставить пользователю разрешение на обновление учетных данных и основных свойств отдельного приложения без создания второй пользовательской роли.

  1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. Выберите регистрацию приложения, к которой предоставляется доступ для управления. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

    Select the app registration as a resource scope for a role assignment

  4. При регистрации приложения выберите Роли и администраторы. Если вы еще не создали ее, выполните инструкции приведенные в разделе выше.

  5. Затем выберите роль, чтобы открыть страницу Назначения.

  6. Выберите Добавить назначение, чтобы добавить пользователя. Пользователю будут предоставлены разрешения только для выбранной регистрации приложения.

Следующие шаги