Editar

Compartir vía


Creación y asignación de un rol personalizado en Microsoft Entra ID

En este artículo se describe cómo crear nuevos roles personalizados en Microsoft Entra ID. Para conocer los aspectos básicos de los roles personalizados, consulte la información general sobre roles personalizados. El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente.

Los roles personalizados se pueden crear en la página Roles y administradores del centro de administración de Microsoft Entra.

Requisitos previos

  • Una licencia de Microsoft Entra ID P1 o P2
  • Administrador de roles con privilegios
  • Módulo Microsoft.Graph cuando se usa PowerShell
  • Consentimiento del administrador al usar Probador de Graph para Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Creación de un rol en el centro de administración de Microsoft Entra

Creación de un rol personalizado para conceder acceso para administrar los registros de aplicaciones

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Identidad>Roles y administradores>Roles y administradores.

  3. Seleccione Nuevo rol personalizado.

    Creación o edición de roles en la página Roles y administradores

  4. En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol.

    Puede clonar los permisos de línea de base de un rol personalizado, pero no puede clonar un rol integrado.

    Proporcione un nombre y una descripción para un rol personalizado en la pestaña Aspectos básicos

  5. En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para una descripción detallada de cada permiso, consulte Permisos y subtipos del registro de aplicaciones en Microsoft Entra ID.

    1. En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso microsoft.directory/applications/credentials/update.

      Selección de los permisos de un rol personalizado en la pestaña Permisos

    2. A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso microsoft.directory/applications/basic/update y, luego, haga clic en Siguiente.

  6. En la pestaña Revisar y crear, revise los detalles y seleccione Crear.

    El rol personalizado se mostrará en la lista de los roles disponibles para asignar.

Creación de un rol con PowerShell

Iniciar sesión

Use el comando Connect-MgGraph para iniciar sesión en su inquilino.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Creación de un rol con Microsoft Graph API

Siga estos pasos:

  1. Use Create unifiedRoleDefinition API para crear un rol personalizado.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Body

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Nota:

    El valor "templateId": "GUID" es un parámetro opcional que se envía al cuerpo según el requisito. Si tiene un requisito para crear varios roles personalizados con parámetros comunes, es mejor crear una plantilla y definir un valor templateId. Puede generar un valor templateId de antemano mediante el cmdlet de PowerShell (New-Guid).Guid.

  2. Use Create unifiedRoleAssignment API para asignar el rol personalizado.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Body

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Asignación de un rol personalizado con ámbito de un recurso

Al igual que los roles integrados, los roles personalizados se asignan de forma predeterminada en el ámbito predeterminado de toda la organización para conceder permisos de acceso a todos los registros de aplicaciones de la organización. Además, los roles personalizados y algunos roles integrados pertinentes (según el tipo de recurso de Microsoft Entra) también se pueden asignar en el ámbito de un único recurso de Microsoft Entra. Esto le permite entregar al usuario el permiso para actualizar las credenciales y las propiedades básicas de una aplicación única sin la necesidad de crear un segundo rol personalizado.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Desarrollador de aplicaciones.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. Seleccione el registro de aplicaciones al que se concede acceso para administrar. Es posible que tenga que seleccionar Todas las aplicaciones para ver la lista completa de los registros de aplicaciones de la organización de Microsoft Entra.

    Selección del registro de aplicaciones como un ámbito de recurso para una asignación de roles

  4. En el registro de aplicaciones, seleccione Roles y administradores. Si todavía no crea uno, puede encontrar instrucciones sobre cómo hacerlo en el procedimiento anterior.

  5. Seleccione el rol para abrir la página Asignaciones.

  6. Seleccione Agregar asignación para agregar un usuario. Al usuario se le concederán permisos únicamente sobre el registro de aplicaciones seleccionado.