Erstellen einer benutzerdefinierten Rolle in der Microsoft Entra-ID

In diesem Artikel wird beschrieben, wie Sie eine benutzerdefinierte Rolle erstellen, um den Zugriff auf Microsoft Entra-Ressourcen mithilfe des Microsoft Entra Admin Centers, der Microsoft Graph PowerShell oder der Microsoft Graph-API zu verwalten. Wenn Sie stattdessen eine benutzerdefinierte Rolle zum Verwalten des Zugriffs auf Azure-Ressourcen erstellen möchten, lesen Sie das Erstellen oder Aktualisieren von benutzerdefinierten Azure-Rollen mithilfe des Azure-Portals.

Die Grundlagen von benutzerdefinierten Rollen finden Sie in der Übersicht über benutzerdefinierte Rollen. Die Rolle kann entweder auf Verzeichnisebene oder nur auf Ebene einer App-Registrierungsressource zugewiesen werden. Informationen zur maximalen Anzahl von benutzerdefinierten Rollen, die in einer Microsoft Entra-Organisation erstellt werden können, finden Sie unter Microsoft Entra-Dienstbeschränkungen und -einschränkungen.

Voraussetzungen

• Microsoft Entra ID P1- oder P2-Lizenz
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.

Admin Center

Erstellen einer benutzerdefinierten Rolle

In diesen Schritten wird beschrieben, wie Sie eine benutzerdefinierte Rolle im Microsoft Entra Admin Center erstellen, um App-Registrierungen zu verwalten.

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator mit privilegierter Rolle an.

2. Navigieren Sie zu Entra IDRollen & Administratoren.

3. Wählen Sie "Neue benutzerdefinierte Rolle" aus.

   

4. Geben Sie auf der Registerkarte " Grundlagen " einen Namen und eine Beschreibung für die Rolle an.

   Sie können die Grundberechtigungen einer benutzerdefinierten Rolle klonen, aber keine integrierte Rolle klonen.

   

5. Wählen Sie auf der Registerkarte "Berechtigungen " die berechtigungen aus, die zum Verwalten grundlegender Eigenschaften und Anmeldeinformationseigenschaften von App-Registrierungen erforderlich sind. Eine detaillierte Beschreibung der einzelnen Berechtigungen finden Sie unter Anwendungsregistrierungsuntertypen und Berechtigungen in der Microsoft Entra-ID.

   1. Geben Sie zunächst „Anmeldeinformationen“ in die Suchleiste ein, und wählen Sie die microsoft.directory/applications/credentials/update-Berechtigung aus.

      

   2. Geben Sie als Nächstes "einfach" in die Suchleiste ein, wählen Sie die microsoft.directory/applications/basic/update Berechtigung aus, und klicken Sie dann auf "Weiter".

6. Überprüfen Sie auf der Registerkarte " Überprüfen+ Erstellen " die Berechtigungen, und wählen Sie "Erstellen" aus.

   Ihre benutzerdefinierte Rolle wird in der Liste der verfügbaren Rollen angezeigt, die zugewiesen werden sollen.

PowerShell

Anmelden

Verwenden Sie den Befehl "Connect-MgGraph ", um sich bei Ihrem Mandanten anzumelden.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Erstellen einer benutzerdefinierten Rolle

Erstellen Sie eine neue Rolle mithilfe des folgenden PowerShell-Skripts:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Aktualisieren einer benutzerdefinierten Rolle

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Löschen einer benutzerdefinierten Rolle

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph-API

Erstellen einer benutzerdefinierten Rolle

Führen Sie die folgenden Schritte aus:

1. Verwenden Sie die Create unifiedRoleDefinition-API , um eine benutzerdefinierte Rolle zu erstellen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Körper

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Anmerkung

   Die "templateId": "GUID" ist ein optionaler Parameter, der je nach Anforderung im Textkörper gesendet wird. Wenn Sie mehrere unterschiedliche benutzerdefinierte Rollen mit gemeinsamen Parametern erstellen müssen, empfiehlt es sich, eine Vorlage zu erstellen und einen templateId Wert zu definieren. Sie können vorher einen templateId Wert generieren, indem Sie das PowerShell-Cmdlet (New-Guid).Guidverwenden.

2. Verwenden Sie die Create unifiedRoleAssignment-API , um die benutzerdefinierte Rolle zuzuweisen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Körper

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Verwandte Inhalte

• Zuweisen von Microsoft Entra-Rollen
• Integrierte Microsoft Entra-Rollen
• Vergleich der Standardberechtigungen für Gast- und Mitgliederbenutzer