Microsoft Entra-szerepkörök hozzárendelése különböző hatókörökhöz

A Microsoft Entra ID-ban általában Microsoft Entra-szerepköröket rendel hozzá, hogy azok a teljes bérlőre vonatkozzanak. Microsoft Entra-szerepköröket azonban különböző erőforrásokhoz, például felügyeleti egységekhez vagy alkalmazásregisztrációkhoz is hozzárendelhet. Hozzárendelheti például a Segélyszolgálat Rendszergazda istrator szerepkört, hogy az csak egy adott felügyeleti egységre vonatkozjon, és ne a teljes bérlőre. A szerepkör-hozzárendelés által érintett erőforrásokat hatókörnek is nevezik. Ez a cikk bemutatja, hogyan rendelhet hozzá Microsoft Entra-szerepköröket a bérlői, a felügyeleti egységhez és az alkalmazásregisztrációs hatókörökhöz. A hatókörről további információt a Microsoft Entra ID szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintésében talál.

Előfeltételek

• Kiemelt szerepkörű rendszergazda vagy globális rendszergazda.
• A PowerShell használatakor telepített Microsoft Graph PowerShell SDK.
• Rendszergazda hozzájárulást a Graph Explorer Microsoft Graph API-hoz való használatakor.

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Hatókörrel rendelkező szerepkörök hozzárendelése a bérlőhöz

Ez a szakasz a szerepkörök bérlői hatókörben való hozzárendelését ismerteti.

Microsoft Entra felügyeleti központ

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

   

3. Válasszon ki egy szerepkört a hozzárendeléseinek megtekintéséhez. A szükséges szerepkör megtalálásához a Szűrők hozzáadása funkcióval szűrheti a szerepköröket.

4. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

   

5. Válassza a Hozzáadás lehetőséget a szerepkör hozzárendeléséhez.

PowerShell

Kövesse az alábbi lépéseket a Microsoft Entra-szerepkörök PowerShell-lel való hozzárendeléséhez.

1. Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.

   Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. A Get-MgUser használatával kérje le a felhasználót.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Bérlő beállítása szerepkör-hozzárendelés hatóköreként.

   $directoryScope = '/'
   

6. A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Microsoft Graph API

Az alábbi utasításokat követve rendelhet hozzá szerepkört a Microsoft Graph API-val a Graph Explorerben.

1. Jelentkezzen be a Graph Explorerbe.

2. A Felhasználók listázása API használatával kérje le a felhasználót.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<provide objectId of the user obtained above>",
       "roleDefinitionId": "<provide templateId of the role obtained above>",
       "directoryScopeId": "/"
   }
   

Hatókörrel rendelkező szerepkörök hozzárendelése felügyeleti egységhez

Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy felügyeleti egység hatókörébe.

Microsoft Entra felügyeleti központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

2. Keresse meg az Identitásszerepkörök>> rendszergazdák> Rendszergazda egységeket.

3. Válasszon egy felügyeleti egységet.

   

4. A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget a felügyeleti egységen keresztül hozzárendelhető szerepkörök listájának megtekintéséhez.

   

5. Válassza ki a kívánt szerepkört.

6. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.

7. Válassza a Hozzáadás lehetőséget a felügyeleti egység hatókörébe tartozó szerepkör hozzárendeléséhez.

Feljegyzés

Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. A felügyeleti egységben támogatott objektumokhoz kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be. A felügyeleti egységben támogatott objektumok listájának megtekintéséhez tekintse meg a Microsoft Entra ID Rendszergazda istrative egységeit.

PowerShell

Az alábbi lépéseket követve Rendeljen hozzá Microsoft Entra-szerepköröket a felügyeleti egység hatóköréhez a PowerShell használatával.

1. Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. A Get-MgUser használatával kérje le a felhasználót.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. A Get-MgDirectory Rendszergazda istrativeUnit használatával lekérheti azt a felügyeleti egységet, amelyhez hatókörbe szeretné helyezni a szerepkör-hozzárendelést.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Microsoft Graph API

Az alábbi utasításokat követve szerepkört rendelhet a felügyeleti egység hatóköréhez a Microsoft Graph API használatával a Graph Explorerben.

1. Jelentkezzen be a Graph Explorerbe.

2. A Felhasználók listázása API használatával kérje le a felhasználót.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. A List administrativeUnits API-val lekérheti azt a felügyeleti egységet, amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<provide objectId of the user obtained above>",
       "roleDefinitionId": "<provide templateId of the role obtained above>",
       "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
   }
   

Feljegyzés

Itt a directoryScopeId /administrativeUnits/foo néven van megadva a /foo helyett. Ez a terv. A hatókör /administrativeUnits/foo azt jelenti, hogy a tag kezelheti a felügyeleti egység tagjait (a hozzárendelt szerepkör alapján), nem magát a felügyeleti egységet. A /foo hatóköre azt jelenti, hogy az egyszerű felhasználó kezelheti magát a Microsoft Entra-objektumot. A következő szakaszban látni fogja, hogy a hatókör /foo , mert egy alkalmazásregisztráción keresztül hatókörbe tartozó szerepkör jogosultságot biztosít magának az objektumnak a kezelésére.

Hatókörrel rendelkező szerepkörök hozzárendelése alkalmazásregisztrációhoz

Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy alkalmazásregisztrációs hatókörhöz.

Microsoft Entra felügyeleti központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.

3. Válasszon ki egy alkalmazást. A keresőmezővel megkeresheti a kívánt alkalmazást.

   

4. A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget az alkalmazásregisztráción keresztül hozzárendelni kívánt szerepkörök listájának megtekintéséhez.

   

5. Válassza ki a kívánt szerepkört.

6. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.

   

7. Válassza a Hozzáadás lehetőséget az alkalmazásregisztráció hatókörébe tartozó szerepkör hozzárendeléséhez.

   

   

Feljegyzés

Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. Csak az alkalmazásregisztrációk kezeléséhez kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be.

PowerShell

Az alábbi lépéseket követve Rendeljen hozzá Microsoft Entra-szerepköröket az alkalmazás hatóköréhez a PowerShell használatával.

1. Indítson el egy PowerShell-ablakot. Ha szükséges, az Install-Module használatával telepítse a Microsoft Graph PowerShellt. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. A Get-MgUser használatával kérje le a felhasználót.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. A Get-MgApplication használatával lekérheti azt az alkalmazásregisztrációt , amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Microsoft Graph API

Az alábbi utasításokat követve rendelhet hozzá egy szerepkört az alkalmazás hatóköréhez a Microsoft Graph API használatával a Graph Explorerben.

1. Jelentkezzen be a Graph Explorerbe.

2. A Felhasználók listázása API használatával kérje le a felhasználót.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. A hozzárendelni kívánt szerepkör lekéréséhez használja a List unifiedRoleDefinitions API-t.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. A List applications API használatával lekérheti azt a felügyeleti egységet, amelyhez a szerepkör-hozzárendelés hatókörét szeretné hozzárendelni.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. A szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<provide objectId of the user obtained above>",
       "roleDefinitionId": "<provide templateId of the role obtained above>",
       "directoryScopeId": "/<provide objectId of the app registration obtained above>"
   }
   

Feljegyzés

Itt a directoryScopeId a fenti szakasztól eltérően /foo néven van megadva. Ez a terv. A /foo hatóköre azt jelenti, hogy az egyszerű felhasználó kezelheti a Microsoft Entra-objektumot. A hatókör /administrativeUnits/foo azt jelenti, hogy a tag kezelheti a felügyeleti egység tagjait (a hozzárendelt szerepkör alapján), nem magát a felügyeleti egységet.

Következő lépések

• A Microsoft Entra szerepkör-hozzárendeléseinek listázása.
• Microsoft Entra szerepkörök hozzárendelése a felhasználókhoz.
• Microsoft Entra-szerepkörök hozzárendelése csoportokhoz