Tento článek popisuje, jak přiřadit role Microsoft Entra uživatelům a skupinám pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Popisuje také, jak přiřadit role v různých oborech, jako jsou tenant, registrace aplikace a obory jednotek pro správu.
Uživateli můžete přiřadit přímá i nepřímá přiřazení rolí. Pokud je uživateli přiřazena role členstvím ve skupině, přidejte ho do skupiny a přidejte přiřazení role. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.
V ID Microsoft Entra se role obvykle přiřazují, aby platily pro celého tenanta. Můžete ale také přiřadit role Microsoft Entra pro různé prostředky, jako jsou registrace aplikací nebo jednotky pro správu. Můžete například přiřadit roli Správce helpdesku, aby se vztahovala pouze na konkrétní jednotku pro správu, a ne na celého tenanta. Prostředky, na které se přiřazení role vztahuje, se také označují jako obor. Omezení rozsahu přiřazení role je podporováno pro předdefinované a vlastní role. Pro více informací o rozsahu viz téma Přehled řízení přístupu na základě role (RBAC) v Microsoft Entra ID.
Role Microsoft Entra v Privilegovaném Spravování Identit (PIM)
Pokud máte licenci Microsoft Entra ID P2 a Privileged Identity Management (PIM), máte při přiřazování rolí další možnosti, jako například zpřístupnění uživatele pro přiřazení role nebo definování počátečního a koncového času platnosti přiřazení role. Informace o přiřazování rolí Microsoft Entra v PIM najdete v těchto článcích:
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of user or group>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/"
}
Odpověď
HTTP
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
"id": "<Role assignment ID>",
"roleDefinitionId": "<ID of role definition>",
"principalId": "<Object ID of user or group>",
"directoryScopeId": "/"
}
Pokud definice objektu zabezpečení nebo role neexistuje, odpověď je nenalezena.
Odpověď
HTTP
HTTP/1.1 404 Not Found
Přiřazení rolí v rámci oboru registrace aplikace
Předdefinované role a vlastní role se ve výchozím nastavení přiřazují na úrovni tenanta k udělení přístupových oprávnění pro všechny registrace aplikací ve vaší organizaci. Kromě toho je možné vlastní role a některé relevantní předdefinované role (v závislosti na typu prostředku Microsoft Entra) přiřadit také v rozsahu jednoho prostředku Microsoft Entra. To umožňuje uživateli udělit oprávnění k aktualizaci přihlašovacích údajů a základních vlastností jedné aplikace, aniž byste museli vytvořit druhou vlastní roli.
Tato část popisuje, jak přiřadit role v oboru registrace aplikace.
Přejděte na Identity>Applications>Registrace aplikací.
Vyberte aplikaci. K vyhledání požadované aplikace můžete použít vyhledávací pole.
Možná budete muset vybrat Všechny aplikace, abyste viděli úplný seznam registrací aplikací ve vašem tenantovi.
V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které mají být přiřazeny při registraci aplikace.
Vyberte požadovanou roli.
Tip
Tady neuvidíte celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. Očekává se to. Zobrazujeme role, které mají oprávnění související pouze se správou registrací aplikací.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupiny, ke které chcete tuto roli přiřadit.
Výběrem Přidat přiřaďte roli vymezenou při registraci aplikace.
Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru aplikace pomocí PowerShellu.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of user>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/<Object ID of app registration>"
}
Odpověď
HTTP
HTTP/1.1 201 Created
Poznámka
V tomto příkladu je directoryScopeId zadán jako /<ID>, na rozdíl od části administrativní jednotky. Je to záměrně. Rozsah /<ID> znamená, že správce může spravovat objekt Microsoft Entra. Rozsah /administrativeUnits/<ID> znamená, že hlavní uživatel může spravovat členy správní jednotky na základě přiřazené role, ale ne samotnou správní jednotku.
Přiřadit role v rámci správních jednotek
V Microsoft Entra ID můžete pro podrobnější administrativní kontrolu přiřadit roli Microsoft Entra s rozsahem, který je omezený na jednu nebo více administrativních jednotek. Pokud je role Microsoft Entra přiřazena v oboru jednotky pro správu, oprávnění role se vztahují pouze na správu členů samotné jednotky pro správu a nevztahují se na nastavení nebo konfigurace pro celého tenanta.
Například správce, který má přiřazenou roli Správce skupin v oboru jednotky pro správu, může spravovat skupiny, které jsou členy jednotky pro správu, ale nemůžou spravovat jiné skupiny v tenantovi. Nemůžou také spravovat nastavení na úrovni tenanta související se skupinami, jako jsou zásady vypršení platnosti nebo pojmenování skupin.
Tato část popisuje, jak přiřadit role Microsoft Entra v rámci jednotek pro správu.
Požadavky
Licence Microsoft Entra ID P1 nebo P2 pro každého správce administrativní jednotky
Bezplatné licence Microsoft Entra ID pro členy jednotek pro správu
Správce privilegovaných rolí
Modul Microsoft Graph PowerShellu při použití PowerShellu
Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API
Role, které je možné přiřadit v rámci správních jednotek
Následující role Microsoft Entra je možné přiřadit v rozsahu jednotky pro správu. Kromě toho je možné přiřadit všechny vlastní role s oborem jednotek pro správu, pokud oprávnění vlastní role zahrnují alespoň jedno oprávnění relevantní pro uživatele, skupiny nebo zařízení.
Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce v přiřazené jednotce pro správu.
správce cloudových zařízení
Omezený přístup ke správě zařízení v Microsoft Entra ID.
Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce).
správce SharePointu
Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. U sharepointových webů přidružených ke skupinám Microsoftu 365 v jednotce pro správu můžete aktualizovat také vlastnosti webu (název webu, adresu URL a zásady externího sdílení) pomocí Centra pro správu Microsoftu 365. Ke správě webů nelze použít Centrum pro správu SharePointu nebo rozhraní API služby SharePoint.
Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. Může spravovat členy týmu v Centru pro správu Microsoftu 365 jenom pro týmy přidružené ke skupinám v přiřazené jednotce pro správu. Centrum pro správu Teams se nedá použít.
Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel jenom pro omezené správce v rámci přiřazené jednotky pro správu. V současné době nelze spravovat profilové fotografie uživatelů.
Může provádět akce, které se vztahují na uživatele, skupiny nebo zařízení podle definice vlastní role.
Určitá oprávnění role se vztahují pouze na uživatele, kteří nejsou správci, pokud jsou přiřazeni s oborem jednotky pro správu. Jinými slovy, jednotky pro správu vymezené správci helpdesku můžou resetovat hesla pro uživatele v jednotce pro správu jenom v případě, že tito uživatelé nemají role správce. Následující seznam oprávnění je omezený, pokud je cílem akce jiný správce:
Čtení a úpravy metod ověřování uživatelů nebo resetování uživatelských hesel
Úprava citlivých vlastností uživatelů, jako jsou telefonní čísla, alternativní e-mailové adresy nebo tajné klíče OAuth (Open Authorization)
Odstranění nebo obnovení uživatelských účtů
Objekty zabezpečení, které je možné přiřadit v rámci oboru jednotky správy
K roli s rozsahem správní jednotky lze přiřadit následující bezpečnostní principy:
Uživatelé
Skupiny s možností přiřazení rolí Microsoft Entra
Principálové služby
Principály služeb a uživatelé typu host
Instanční objekty a uživatelé typu host nebudou moct používat přiřazení role vymezené jednotce pro správu, pokud jim nebudou přiřazena odpovídající oprávnění ke čtení objektů. Důvodem je, že služby a uživatelé typu host ve výchozím nastavení nedostávají oprávnění ke čtení adresáře, což jsou oprávnění nutná k provádění administrativních akcí. Pokud chcete instančnímu objektu nebo uživateli typu host povolit použití přiřazení role vymezené na jednotku pro správu, musíte přiřadit roli Čtenáři adresáře (nebo jinou roli, která zahrnuje oprávnění ke čtení) v rámci tenanta.
V současné době není možné přiřadit k jednotce pro správu oprávnění ke čtení adresáře s vymezeným oborem. Další informace o výchozích oprávněních pro uživatele najdete v tématu výchozí uživatelská oprávnění.
Přiřadit role v rámci správních jednotek
Tato část popisuje, jak přiřadit role v rámci jednotky správy.
Přejděte na Identity>Role & správci>jednotky pro správu.
Vyberte jednotku pro správu.
V levé navigační nabídce vyberte Role a správci pro zobrazení seznamu všech rolí, které jsou k dispozici pro přiřazení v rámci administrativní jednotky.
Vyberte požadovanou roli.
Tip
Tady neuvidíte celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. Očekává se to. Zobrazujeme role, které mají oprávnění související s objekty, které jsou podporovány v rámci jednotky pro správu. Pro zobrazení seznamu objektů podporovaných v jednotce pro správu viz Jednotky pro správu v Microsoft Entra ID.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupiny, ke které chcete tuto roli přiřadit.
Vyberte Přidat a přiřaďte roli v rozsahu administrativní jednotky.
Pomocí následujícího postupu přiřaďte role Microsoft Entra v rozsahu administrační jednotky pomocí PowerShell.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<Object ID of user>",
"roleDefinitionId": "<ID of role definition>",
"directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
}
Odpověď
HTTP
HTTP/1.1 201 Created
Pokud tato role není podporovaná, odpověď je chybný požadavek.
HTTP
HTTP/1.1 400 Bad Request
{
"odata.error":
{
"code":"Request_BadRequest",
"message":
{
"message":"The given built-in role is not supported to be assigned to a single resource scope."
}
}
}
Poznámka
V tomto příkladu je directoryScopeId zadán jako /administrativeUnits/<ID>místo /<ID>. Je to záměrně. Rozsah /administrativeUnits/<ID> znamená, že zabezpečující subjekt může spravovat členy správní jednotky (na základě role, kterou má přiřazen), nikoli správní jednotky jako takové. Rozsah /<ID> znamená, že hlavní subjekt může spravovat daný objekt Microsoft Entra sám. V části registrace aplikace vidíte, že obor je /<ID>, protože role vymezená registrací aplikace uděluje oprávnění ke správě samotného objektu.
Zjistěte, jak zobrazit seznam přiřazení rolí Microsoft Entra pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.
Zjistěte, jak vypsat předdefinované a vlastní definice rolí Microsoft Entra a jejich oprávnění pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.
Zjistěte, jak vytvořit vlastní roli v ID Microsoft Entra pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.