Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra
В этой статье описывается создание новых пользовательских ролей в идентификаторе Microsoft Entra. Основные сведения о пользовательских ролях см. на этой странице. Роль можно назначать только в области действия уровня каталога или в области действия ресурса регистрации приложения.
Пользовательские роли можно создать на странице "Роли и администраторы " центра администрирования Microsoft Entra.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2
- Глобальный администратор или администратор привилегированных ролей.
- Модуль Microsoft.Graph при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Создание роли в Центре администрирования Microsoft Entra
Создание пользовательской роли с доступом для управления регистрацией приложений
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Выберите новую настраиваемую роль.
На вкладке Основы введите имя и описание роли и нажмите кнопку Далее.
На вкладке Разрешения выберите разрешения, необходимые для управления основными свойствами и свойствами учетных данных для регистрации приложений. Подробное описание каждого разрешения см. в подразделах регистрации приложений и разрешениях в идентификаторе Microsoft Entra.
Сначала введите credentials в строке поиска и выберите разрешение
microsoft.directory/applications/credentials/update
.Затем в строке поиска введите basic, выберите разрешение
microsoft.directory/applications/basic/update
и нажмите кнопку Далее.
На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.
Ваша пользовательская роль отобразится в списке доступных ролей для назначения.
Создание роли с помощью PowerShell
Вход
Используйте команду Подключение-MgGraph для входа в клиент.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Создание настраиваемой роли
Создайте роль с помощью следующего сценария PowerShell:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Назначьте пользовательскую роль с помощью PowerShell
Назначьте роль с помощью следующего скрипта PowerShell:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Создайте роль с помощью API Microsoft Graph
Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Текст
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Примечание.
Параметр
"templateId": "GUID"
является необязательным. Он отправляется в тексте запроса по мере необходимости. Если вам нужно создать несколько разных пользовательских ролей с общими параметрами, лучше всего создать шаблон и определить значениеtemplateId
. Вы можете создать значениеtemplateId
заранее с помощью командлета PowerShell(New-Guid).Guid
.Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Текст
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Назначение пользовательской роли, ограниченной областью действия ресурса
Как и встроенные роли, пользовательские роли назначаются по умолчанию в масштабах всей организации для предоставления разрешения на доступ для всех регистраций приложений в организации. Кроме того, пользовательские роли и некоторые соответствующие встроенные роли (в зависимости от типа ресурса Microsoft Entra) также можно назначить по область одного ресурса Microsoft Entra. Это позволяет предоставить пользователю разрешение на обновление учетных данных и основных свойств отдельного приложения без создания второй пользовательской роли.
Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
Перейдите к приложениям> удостоверений>Регистрация приложений.
Выберите регистрацию приложения, к которой предоставляется доступ для управления. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.
При регистрации приложения выберите Роли и администраторы. Если вы еще не создали ее, выполните инструкции приведенные в разделе выше.
Затем выберите роль, чтобы открыть страницу Назначения.
Выберите Добавить назначение, чтобы добавить пользователя. Пользователю будут предоставлены разрешения только для выбранной регистрации приложения.
Следующие шаги
- Вы можете поделиться с нами на форуме административных ролей Microsoft Entra.
- Дополнительные сведения о разрешениях ролей см. в статье о встроенных ролях Microsoft Entra.
- Сведения о разрешениях пользователей по умолчанию см. в разделе сравнение разрешений гостевых пользователей и пользователей-участников.