Skapa och tilldela en anpassad roll i Microsoft Entra-ID
I den här artikeln beskrivs hur du skapar nya anpassade roller i Microsoft Entra-ID. Grunderna för anpassade roller finns i översikten över anpassade roller. Rollen kan tilldelas antingen i katalognivåomfånget eller endast i ett resursomfång för appregistrering.
Anpassade roller kan skapas på sidan Roller och administratörer i administrationscentret för Microsoft Entra.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens
- Privilegierad rolladministratör eller global administratör
- Microsoft.Graph-modul när du använder PowerShell
- Administratörsmedgivande när Graph Explorer för Microsoft Graph API används
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Skapa en roll i administrationscentret för Microsoft Entra
Skapa en ny anpassad roll för att bevilja åtkomst för att hantera appregistreringar
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identitetsroller>och administratörsroller>och administratörer.
Välj Ny anpassad roll.
På fliken Grundläggande anger du ett namn och en beskrivning för rollen och klickar sedan på Nästa.
På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar. En detaljerad beskrivning av varje behörighet finns i Undertyper och behörigheter för programregistrering i Microsoft Entra-ID.
Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten
microsoft.directory/applications/credentials/update
.Ange sedan "basic" i sökfältet, välj behörigheten
microsoft.directory/applications/basic/update
och klicka sedan på Nästa.
På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.
Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.
Skapa en roll med PowerShell
Logga in
Använd kommandot Anslut-MgGraph för att logga in på klientorganisationen.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Skapa den anpassade rollen
Skapa en ny roll med följande PowerShell-skript:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Tilldela den anpassade rollen med hjälp av PowerShell
Tilldela rollen med hjälp av PowerShell-skriptet nedan:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Skapa en roll med Microsoft Graph API
Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Brödtext
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Kommentar
"templateId": "GUID"
är en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med vanliga parametrar är det bäst att skapa en mall och definiera etttemplateId
värde. Du kan generera etttemplateId
värde i förväg med hjälp av PowerShell-cmdleten(New-Guid).Guid
.Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Brödtext
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Tilldela en anpassad roll som är begränsad till en resurs
Precis som inbyggda roller tilldelas anpassade roller som standard i det organisationsomfattande standardomfånget för att bevilja åtkomstbehörigheter för alla appregistreringar i din organisation. Dessutom kan anpassade roller och vissa relevanta inbyggda roller (beroende på typen av Microsoft Entra-resurs) också tilldelas i omfånget för en enda Microsoft Entra-resurs. På så sätt kan du ge användaren behörighet att uppdatera autentiseringsuppgifter och grundläggande egenskaper för en enskild app utan att behöva skapa en andra anpassad roll.
Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.
Bläddra till Identitetsprogram>> Appregistreringar.
Välj den appregistrering som du beviljar åtkomst till för att hantera. Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din Microsoft Entra-organisation.
I appregistreringen väljer du Roller och administratörer. Om du inte redan har skapat en, finns instruktioner i föregående procedur.
Välj rollen för att öppna sidan Tilldelningar .
Välj Lägg till tilldelning för att lägga till en användare. Användaren beviljas alla behörigheter för endast den valda appregistreringen.
Nästa steg
- Dela gärna med oss på forumet för administrativa roller i Microsoft Entra.
- Mer information om rollbehörigheter finns i Inbyggda Microsoft Entra-roller.
- För standardanvändarbehörigheter, se en jämförelse av standardbehörigheter för gäst- och medlemsanvändare.