Upravit

Sdílet prostřednictvím


Přiřazení rolí Microsoft Entra uživatelům

Pokud chcete udělit přístup uživatelům v Microsoft Entra ID, přiřaďte role Microsoft Entra. Role je kolekce oprávnění. Tento článek popisuje, jak přiřadit role Microsoft Entra pomocí Centra pro správu Microsoft Entra a PowerShellu.

Požadavky

  • Privileged Role Správa istrator. Informace o tom, kdo je vaše privilegovaná role Správa istrator, najdete v tématu Seznam přiřazení rolí Microsoft Entra.
  • Licence Microsoft Entra ID P2 při použití Privileged Identity Management (PIM)
  • Modul Microsoft Graph PowerShellu při použití PowerShellu
  • Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Centrum pro správu Microsoft Entra

Pomocí tohoto postupu přiřaďte role Microsoft Entra pomocí Centra pro správu Microsoft Entra. Vaše prostředí se bude lišit v závislosti na tom, jestli máte povolenou službu Microsoft Entra Privileged Identity Management (PIM).

Přiřaďte roli

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

    Snímek obrazovky se stránkou Role a správci v Microsoft Entra ID

  3. Najděte požadovanou roli. K filtrování rolí můžete použít vyhledávací pole nebo Přidat filtry .

  4. Výběrem názvu role otevřete roli. Nepřidávejte značku zaškrtnutí vedle role.

    Snímek obrazovky znázorňující výběr role

  5. Vyberte Přidat přiřazení a pak vyberte uživatele, které chcete přiřadit k této roli.

    Pokud vidíte něco jiného než na následujícím obrázku, možná máte povolený PIM. Postup najdete v další části.

    Snímek obrazovky s podoknem Přidat přiřazení pro vybranou roli

    Poznámka:

    Pokud přiřadíte předdefinovanou roli Microsoft Entra uživateli typu host, bude uživatel typu host zvýšen, aby měl stejná oprávnění jako člen. Informace o výchozích oprávněních člena a uživatele typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?

  6. Výběrem možnosti Přidat přiřaďte roli.

Přiřazení role pomocí PIM

Pokud máte povolenou službu Microsoft Entra Privileged Identity Management (PIM), máte další možnosti přiřazení rolí. Můžete například nastavit, aby uživatel měl nárok na roli nebo nastavil dobu trvání. Pokud je PIM povolený, existují dva způsoby, jak přiřadit role pomocí Centra pro správu Microsoft Entra. Můžete použít stránku Role a správci nebo prostředí PIM. V obou směrech se používá stejná služba PIM.

Pomocí těchto kroků přiřaďte role pomocí stránky Role a správci . Pokud chcete přiřadit role pomocí Privileged Identity Management, přečtěte si téma Přiřazení rolí Microsoft Entra v Privileged Identity Management.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím identit>a správcům>a správcům.

    Snímek obrazovky se stránkou Role a správci v Microsoft Entra ID při povolení PIM

  3. Najděte požadovanou roli. K filtrování rolí můžete použít vyhledávací pole nebo Přidat filtry .

  4. Vyberte název role, aby se role otevřela a zobrazila se její oprávněná, aktivní a prošlá přiřazení rolí. Nepřidávejte značku zaškrtnutí vedle role.

    Snímek obrazovky znázorňující výběr role

  5. Vyberte Přidat přiřazení.

  6. Vyberte Možnost Žádný člen a pak vyberte uživatele, které chcete přiřadit k této roli.

    Snímek obrazovky se stránkou Přidat přiřazení a výběrem podokna člena s povoleným PIM

  7. Vyberte Další.

  8. Na kartě Nastavení vyberte, jestli chcete, aby toto přiřazení role bylo způsobilé nebo aktivní.

    Přiřazení oprávněné role znamená, že uživatel musí k použití role provést jednu nebo více akcí. Přiřazení aktivní role znamená, že uživatel nemusí k používání role provádět žádnou akci. Další informace o tom, co tato nastavení znamenají, najdete v terminologii PIM.

    Snímek obrazovky se stránkou Přidat zadání a kartou Nastavení s povoleným PIM

  9. Zbývající možnosti slouží k nastavení doby trvání přiřazení.

  10. Výběrem možnosti Přiřadit roli přiřaďte.

PowerShell –

Pomocí následujícího postupu přiřaďte role Microsoft Entra pomocí PowerShellu.

Nastavení

  1. Otevřete okno PowerShellu a pomocí modulu Import-Module naimportujte modul Microsoft Graph PowerShellu. Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. V okně PowerShellu se pomocí Připojení MgGraph přihlaste ke svému tenantovi.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Pomocí příkazu Get-MgUser získáte uživatele, kterému chcete přiřadit roli.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Přiřaďte roli

  1. K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment .

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Přiřazení role jako oprávněné pomocí PIM

Pokud je PIM povolená, máte další možnosti, jako je nastavení oprávnění uživatele k přiřazení role nebo definování počátečního a koncového času přiřazení role. Tyto funkce používají jinou sadu příkazů PowerShellu. Další informace o použití PowerShellu a PIM najdete v powershellu pro role Microsoft Entra v Privileged Identity Management.

  1. K získání role, kterou chcete přiřadit, použijte Get-MgRoleManagementDirectoryRoleDefinition .

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Pomocí následujícího příkazu vytvořte tabulku hash pro uložení všech potřebných atributů potřebných k přiřazení role uživateli. ID objektu zabezpečení bude ID uživatele, ke kterému chcete roli přiřadit. V tomto příkladu bude přiřazení platné jenom 10 hodin.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. Pomocí rutiny New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest přiřaďte roli jako oprávněnou. Jakmile je role přiřazená, zobrazí se v Centru pro správu Microsoft Entra v části Přiřazení oprávněných> přiřazení rolí>Microsoft Entra v>rámci zásad správného řízení>identit.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    Microsoft Graph API

    Podle těchto pokynů přiřaďte roli pomocí rozhraní Microsoft Graph API.

    Přiřaďte roli

    V tomto příkladu má objekt zabezpečení s ID objektu aaaaaaaa-bbbb-cccc-1111-222222222222 přiřazenou roli Fakturační Správa istrator (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role) v oboru tenanta. Seznam neměnných ID šablon rolí všech předdefinovaných rolí najdete v tématu Předdefinované role Microsoft Entra.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Přiřazení role pomocí PIM

    Přiřazení oprávněné role vázané na čas

    V tomto příkladu je objekt zabezpečení s ID objektu aaaaaaaa-bbbb-cccc-1111-222222222222 přiřazený k přiřazení časově vázané role k fakturačnímu Správa istratoru (ID b0f54661-2d74-4c50-afa3-1ec803f12efedefinice role) po dobu 180 dnů.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Přiřazení trvalé oprávněné role

    V následujícím příkladu je instančnímu objektu zabezpečení přiřazeno trvalé přiřazení oprávněné role k Správa istrator fakturace.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Aktivace přiřazení role

    K aktivaci přiřazení role použijte rozhraní API Create roleAssignmentScheduleRequests .

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    Další informace o správě rolí Microsoft Entra prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Přehled správy rolí prostřednictvím rozhraní API PIM (Privileged Identity Management).