Tento prohlížeč se už nepodporuje.
Upgradujte na Microsoft Edge, abyste mohli využívat nejnovější funkce, aktualizace zabezpečení a technickou podporu.
Tento článek popisuje, jak vytvořit nové vlastní role v Microsoft Entra ID. Základní informace o vlastních rolích najdete v přehledu vlastních rolí. Roli je možné přiřadit buď v oboru na úrovni adresáře, nebo pouze v oboru prostředku registrace aplikace.
Vlastní role je možné vytvořit na stránce Role a správci centra pro správu Microsoft Entra.
Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.
Přejděte k rolím identit>a správcům>a správcům.
Vyberte Možnost Nová vlastní role.
Na kartě Základy zadejte název a popis role a potom klepněte na tlačítko Další.
Na kartě Oprávnění vyberte oprávnění potřebná ke správě základních vlastností a vlastností přihlašovacích údajů registrací aplikací. Podrobný popis jednotlivých oprávnění naleznete v části Podtypy a oprávnění registrace aplikace v Microsoft Entra ID.
Nejprve na panelu hledání zadejte "credentials" (přihlašovací údaje) a vyberte microsoft.directory/applications/credentials/update oprávnění.
Dále na panelu hledání zadejte "basic", vyberte microsoft.directory/applications/basic/update oprávnění a potom klikněte na Tlačítko Další.
Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.
Vaše vlastní role se zobrazí v seznamu dostupných rolí, které chcete přiřadit.
Pomocí příkazu Připojení-MgGraph se přihlaste ke svému tenantovi.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Create a new role using the following PowerShell script:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Assign the role using the below PowerShell script:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Postupujte následovně:
K vytvoření vlastní role použijte rozhraní API Create unifiedRoleDefinition.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Text
{
"description": "Can manage basic aspects of application registrations.",
"displayName": "Application Support Administrator",
"isEnabled": true,
"templateId": "<GUID>",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
]
}
]
}
Poznámka:
Jedná se "templateId": "GUID" o volitelný parametr, který se odešle v textu v závislosti na požadavku. Pokud potřebujete vytvořit více různých vlastních rolí s běžnými parametry, je nejlepší vytvořit šablonu a definovat templateId hodnotu. Hodnotu můžete předem vygenerovat templateId pomocí rutiny (New-Guid).GuidPowerShellu .
K přiřazení vlastní role použijte rozhraní API Create unifiedRoleAssignment.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Text
{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}
Podobně jako předdefinované role se vlastní role ve výchozím nastavení přiřazují ve výchozím rozsahu pro celou organizaci, aby udělily přístupová oprávnění pro všechny registrace aplikací ve vaší organizaci. Kromě toho je možné vlastní role a některé relevantní předdefinované role (v závislosti na typu prostředku Microsoft Entra) přiřadit také v rozsahu jednoho prostředku Microsoft Entra. To umožňuje uživateli udělit oprávnění k aktualizaci přihlašovacích údajů a základních vlastností jedné aplikace, aniž byste museli vytvořit druhou vlastní roli.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
Přejděte k aplikacím> identit>Registrace aplikací.
Vyberte registraci aplikace, ke které udělujete přístup ke správě. Možná budete muset vybrat Všechny aplikace , abyste viděli úplný seznam registrací aplikací ve vaší organizaci Microsoft Entra.
V registraci aplikace vyberte Role a správci. Pokud jste ho ještě nevytvořili, pokyny jsou uvedené v předchozím postupu.
Výběrem role otevřete stránku Přiřazení .
Vyberte Přidat přiřazení a přidejte uživatele. Uživateli se udělí všechna oprávnění jenom k registraci vybrané aplikace.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro