Skapa och tilldela en anpassad roll i Microsoft Entra-ID

I den här artikeln beskrivs hur du skapar nya anpassade roller i Microsoft Entra-ID. Grunderna för anpassade roller finns i översikten över anpassade roller. Rollen kan tilldelas antingen i katalognivåomfånget eller endast i ett resursomfång för appregistrering.

Anpassade roller kan skapas på sidan Roller och administratörer i administrationscentret för Microsoft Entra.

Förutsättningar

  • Microsoft Entra ID P1- eller P2-licens
  • Privilegierad rolladministratör eller global administratör
  • Microsoft.Graph-modul när du använder PowerShell
  • Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Skapa en roll i administrationscentret för Microsoft Entra

Skapa en ny anpassad roll för att bevilja åtkomst för att hantera appregistreringar

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

  3. Välj Ny anpassad roll.

    Create or edit roles from the Roles and administrators page

  4. På fliken Grundläggande anger du ett namn och en beskrivning för rollen och klickar sedan på Nästa.

    provide a name and description for a custom role on the Basics tab

  5. På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar. En detaljerad beskrivning av varje behörighet finns i Undertyper och behörigheter för programregistrering i Microsoft Entra-ID.

    1. Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten microsoft.directory/applications/credentials/update .

      Select the permissions for a custom role on the Permissions tab

    2. Ange sedan "basic" i sökfältet, välj behörigheten microsoft.directory/applications/basic/update och klicka sedan på Nästa.

  6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.

Skapa en roll med PowerShell

Logga in

Använd kommandot Anslut-MgGraph för att logga in på klientorganisationen.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Skapa den anpassade rollen

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
 
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Tilldela den anpassade rollen med hjälp av PowerShell

Tilldela rollen med hjälp av PowerShell-skriptet nedan:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Skapa en roll med Microsoft Graph API

  1. Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Brödtext

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Kommentar

    "templateId": "GUID" är en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med vanliga parametrar är det bäst att skapa en mall och definiera ett templateId värde. Du kan generera ett templateId värde i förväg med hjälp av PowerShell-cmdleten (New-Guid).Guid.

  2. Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Brödtext

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Tilldela en anpassad roll som är begränsad till en resurs

Precis som inbyggda roller tilldelas anpassade roller som standard i det organisationsomfattande standardomfånget för att bevilja åtkomstbehörigheter för alla appregistreringar i din organisation. Dessutom kan anpassade roller och vissa relevanta inbyggda roller (beroende på typen av Microsoft Entra-resurs) också tilldelas i omfånget för en enda Microsoft Entra-resurs. På så sätt kan du ge användaren behörighet att uppdatera autentiseringsuppgifter och grundläggande egenskaper för en enskild app utan att behöva skapa en andra anpassad roll.

  1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

  2. Bläddra till Identitetsprogram>> Appregistreringar.

  3. Välj den appregistrering som du beviljar åtkomst till för att hantera. Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din Microsoft Entra-organisation.

    Select the app registration as a resource scope for a role assignment

  4. I appregistreringen väljer du Roller och administratörer. Om du inte redan har skapat en, finns instruktioner i föregående procedur.

  5. Välj rollen för att öppna sidan Tilldelningar .

  6. Välj Lägg till tilldelning för att lägga till en användare. Användaren beviljas alla behörigheter för endast den valda appregistreringen.

Nästa steg