Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID
In diesem Artikel wird beschrieben, wie Sie neue benutzerdefinierte Rollen in Microsoft Entra ID erstellen. Weitere Informationen zu den Grundlagen benutzerdefinierter Rollen finden Sie in der Übersicht über benutzerdefinierte Rollen. Die Rolle kann entweder für den Bereich der Verzeichnisebene oder nur für den Ressourcenbereich einer App-Registrierung zugewiesen werden.
Benutzerdefinierte Rollen können im Microsoft Entra Admin Center auf der Seite Rollen und Administratoren erstellt werden.
Voraussetzungen
- P1- oder P2-Lizenz für Microsoft Entra ID
- „Administrator für privilegierte Rollen“ oder „Globaler Administrator“
- Microsoft. Graph-Modul bei Verwendung von PowerShell
- Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API
Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Tester.
Erstellen einer Rolle im Microsoft Entra Admin Center
Erstellen einer neuen benutzerdefinierten Rolle für den Zugriff zum Verwalten von App-Registrierungen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Browsen Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.
Wählen Sie Neue benutzerdefinierte Rolle aus.
Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für die Rolle ein, und klicken Sie dann auf Weiter.
Wählen Sie auf der Registerkarte Berechtigungen die Berechtigungen aus, die zum Verwalten von grundlegenden Eigenschaften und Anmeldeinformationen für App-Registrierungen erforderlich sind. Eine ausführliche Beschreibung der einzelnen Berechtigungen finden Sie unter Anwendungsregistrierungsuntertypen und -berechtigungen in Microsoft Entra ID.
Geben Sie zunächst „credentials“ in die Suchleiste ein, und wählen Sie die Berechtigung
microsoft.directory/applications/credentials/update
aus.Dann geben Sie „basic“ in die Suchleiste ein, wählen die Berechtigung
microsoft.directory/applications/basic/update
aus und klicken anschließend auf Weiter.
Überprüfen Sie die Berechtigungen auf der Registerkarte Überprüfen + erstellen, und wählen Sie Erstellen aus.
Die benutzerdefinierte Rolle wird in der Liste der für die Zuweisung verfügbaren Rollen angezeigt.
Erstellen einer Rolle mit PowerShell
Anmelden
Verwenden Sie den Befehl Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Erstellen der benutzerdefinierten Rolle
Verwenden Sie zum Erstellen einer neuen Rolle das folgende PowerShell-Skript:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Zuweisen der benutzerdefinierten Rolle mithilfe von PowerShell
Weisen Sie die Rolle mithilfe des folgenden PowerShell-Skripts zu:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Erstellen einer Rolle mit der Microsoft Graph-API
Verwenden Sie die API unifiedRoleDefinition erstellen, um eine benutzerdefinierte Rolle zu erstellen.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Body
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Hinweis
Die
"templateId": "GUID"
ist ein optionaler Parameter, der je nach der Anforderung im Text gesendet wird. Wenn Sie mehrere verschiedene benutzerdefinierte Rollen mit allgemeinen Parametern erstellen müssen, empfiehlt es sich, eine Vorlage zu erstellen und einentemplateId
-Wert zu definieren. Vorher können Sie mit dem PowerShell-Cmdlet(New-Guid).Guid
einentemplateId
-Wert generieren.Verwenden Sie die API unifiedRoleAssignment erstellen, um die benutzerdefinierte Rolle zuzuweisen.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Body
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Zuweisen einer auf eine Ressource begrenzten benutzerdefinierten Rolle
Wie integrierte Rollen werden benutzerdefinierte Rollen standardmäßig im organisationsweiten Standardbereich zugewiesen, um Zugriffsberechtigungen für alle App-Registrierungen in Ihrer Organisation zu erteilen. Darüber hinaus können benutzerdefinierte Rollen und einige relevante integrierte Rollen (je nach Typ der Microsoft Entra-Ressource) auch im Bereich einer einzelnen Microsoft Entra-Ressource zugewiesen werden. Dadurch können Sie dem Benutzer die Berechtigung zum Aktualisieren von Anmeldeinformationen und grundlegenden Eigenschaften einer einzelnen App erteilen, ohne eine zweite benutzerdefinierte Rolle erstellen zu müssen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.
Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.
Wählen Sie die App-Registrierung aus, für die Sie Zugriff zum Verwalten gewähren möchten. Möglicherweise müssen Sie die Option Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in Ihrer Microsoft Entra-Organisation anzuzeigen.
Wählen Sie in der App-Registrierung die Option Rollen und Administratoren aus. Wenn Sie noch keine erstellt haben, finden Sie Anweisungen im vorherigen Verfahren.
Wählen Sie die Rolle aus, um die Seite Zuweisungen zu öffnen.
Wählen Sie Zuweisung hinzufügen aus, um einen Benutzer hinzuzufügen. Dem Benutzer werden ausschließlich Berechtigungen für die ausgewählte App-Registrierung erteilt.
Nächste Schritte
- Im Forum für Microsoft Entra-Administratorrollen können Sie sich gern mit uns in Verbindung setzen.
- Weitere Informationen zu Rollenberechtigungen finden Sie unter Integrierte Microsoft Entra-Rollen.
- Informationen zu Standardbenutzerberechtigungen finden Sie unter Vergleich von Standardbenutzerberechtigungen für Gäste und Mitglieder.