Egyéni szerepkörök létrehozása vállalati alkalmazások kezeléséhez a Microsoft Entra-azonosítóban
Ez a cikk bemutatja, hogyan hozhat létre egyéni szerepkört a Microsoft Entra ID-ban lévő felhasználók és csoportok vállalati alkalmazás-hozzárendeléseinek kezeléséhez szükséges engedélyekkel. A szerepkör-hozzárendelések elemeit és az olyan kifejezések jelentését, mint az altípus, az engedély és a tulajdonságkészlet, tekintse meg az egyéni szerepkörök áttekintését.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc
- Kiemelt szerepkörű rendszergazda vagy globális rendszergazda
- A PowerShell használatakor telepített Microsoft Graph PowerShell SDK
- Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Vállalati alkalmazásszerepkör-engedélyek
Ebben a cikkben két vállalati alkalmazásengedélyről van szó. Minden példa a frissítés engedélyt használja.
- A hatókörben lévő felhasználó- és csoport-hozzárendelések olvasásához adja meg a
microsoft.directory/servicePrincipals/appRoleAssignedTo/readengedélyt - A hatókörben lévő felhasználó- és csoport-hozzárendelések kezeléséhez adja meg a
microsoft.directory/servicePrincipals/appRoleAssignedTo/updateengedélyt
A frissítés engedély megadásakor a hozzárendelt személy képes kezelni a felhasználók és csoportok vállalati alkalmazásokhoz való hozzárendelését. A felhasználói és/vagy csoport-hozzárendelések hatóköre egyetlen alkalmazáshoz adható, vagy minden alkalmazáshoz megadható. Ha a hozzárendelés szervezeti szinten történik, a hozzárendelt személy minden alkalmazás hozzárendeléseit kezelheti. Ha alkalmazásszinten történik, a hozzárendelt személy csak a megadott alkalmazás hozzárendeléseit kezelheti.
A frissítés engedély megadása két lépésben történik:
- Egyéni szerepkör létrehozása engedéllyel
microsoft.directory/servicePrincipals/appRoleAssignedTo/update - Engedély megadása felhasználóknak vagy csoportoknak a felhasználók és csoportok vállalati alkalmazásokhoz való hozzárendelésének kezeléséhez. Ekkor állíthatja be a hatókört a szervezet egészére vagy egyetlen alkalmazásra.
Microsoft Entra felügyeleti központ
Új egyéni szerepkör létrehozása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Feljegyzés
Az egyéni szerepkörök szervezeti szinten hozhatók létre és kezelhetők, és csak a szervezet Áttekintés lapján érhetők el.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.
Válassza az Új egyéni szerepkör lehetőséget.
Az Alapszintű beállítások lapon adja meg a szerepkör nevéhez tartozó "Felhasználó- és csoport-hozzárendelések kezelése", a szerepkör leírásához pedig a "Felhasználói és csoport-hozzárendelések kezeléséhez szükséges engedélyek megadása" lehetőséget, majd válassza a Tovább gombot.
Az Engedélyek lapon írja be a "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" kifejezést a keresőmezőbe, majd jelölje be a kívánt engedélyek melletti jelölőnégyzeteket, majd kattintson a Tovább gombra.
A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.
Szerepkör hozzárendelése egy felhasználóhoz a Microsoft Entra Felügyeleti központ használatával
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.
Válassza a Felhasználó- és csoport-hozzárendelések kezelése szerepkört .
Válassza a Hozzárendelés hozzáadása lehetőséget, válassza ki a kívánt felhasználót, majd kattintson a Kijelölés gombra a szerepkör-hozzárendelés felhasználóhoz való hozzáadásához.
Hozzárendelési tippek
Ha engedélyeket szeretne adni a hozzárendelőknek a felhasználók kezeléséhez és a csoporthozzáféréshez az összes vállalati alkalmazáshoz, kezdje a szervezetszintű szerepkörök és Rendszergazda istratorok listájával a szervezet Microsoft Entra-azonosítójának áttekintési lapján.
Ha engedélyeket szeretne adni a hozzárendelőknek egy adott vállalati alkalmazás felhasználóinak és csoporthozzáféréseinek kezeléséhez, nyissa meg az alkalmazást a Microsoft Entra-azonosítóban, és nyissa meg az alkalmazás Szerepkörök és Rendszergazda istratorok listájában. Válassza ki az új egyéni szerepkört, és fejezze be a felhasználó vagy csoport hozzárendelését. A hozzárendeltek csak az adott alkalmazáshoz kezelhetik a felhasználókat és a csoporthozzáférést.
Az egyéni szerepkör-hozzárendelés teszteléséhez jelentkezzen be hozzárendeltként, és nyisson meg egy alkalmazás Felhasználók és csoportok lapját annak ellenőrzéséhez, hogy engedélyezve van-e a Felhasználó hozzáadása beállítás.
PowerShell
További információ: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban , és egyéni szerepkörök hozzárendelése erőforrás-hatókörrel a PowerShell használatával.
Egyéni szerepkör létrehozása
Hozzon létre egy új szerepkört a következő PowerShell-szkripttel:
# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
-DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled
Az egyéni szerepkör hozzárendelése
Rendelje hozzá a szerepkört ezzel a PowerShell-szkripttel.
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"
# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Microsoft Graph API
Egyéni szerepkör létrehozásához használja az UnifiedRoleDefinition API-t. További információ: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban és egyéni rendszergazdai szerepkörök hozzárendelése a Microsoft Graph API használatával.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
{
"description": "Can manage user and group assignments for Applications.",
"displayName": "Manage user and group assignments",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Az egyéni szerepkör hozzárendelése a Microsoft Graph API használatával
Az egyéni szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t. A szerepkör-hozzárendelés egyesíti a biztonsági egyszerű azonosítót (amely lehet felhasználó vagy szolgáltatásnév), egy szerepkördefiníciós azonosítót és egy Microsoft Entra-erőforrás hatókört. A szerepkör-hozzárendelés elemeivel kapcsolatos további információkért tekintse meg az egyéni szerepkörök áttekintését
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}