Microsoft Entra szerepkörök hozzárendelése a felhasználókhoz

  • Cikk

A Microsoft Entra-azonosítóban lévő felhasználók hozzáférésének biztosításához Microsoft Entra-szerepköröket kell hozzárendelnie. A szerepkör egy engedélygyűjtemény. Ez a cikk bemutatja, hogyan rendelhet hozzá Microsoft Entra-szerepköröket a Microsoft Entra felügyeleti központ és a PowerShell használatával.

Előfeltételek

  • Kiemelt szerepkörű rendszergazda vagy globális rendszergazda. A Kiemelt szerepkör Rendszergazda istrator vagy globális Rendszergazda istrator ki az, olvassa el a Microsoft Entra szerepkör-hozzárendelések listázása című témakört.
  • Microsoft Entra ID P2-licenc a Privileged Identity Management (PIM) használatakor
  • Microsoft Graph PowerShell-modul a PowerShell használatakor
  • Rendszergazdai jóváhagyás a Graph Explorer for Microsoft Graph API használatához

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Microsoft Entra felügyeleti központ

A Microsoft Entra-szerepkörök a Microsoft Entra felügyeleti központ használatával történő hozzárendeléséhez kövesse az alábbi lépéseket. A felhasználói élmény attól függően eltérő lesz, hogy engedélyezve van-e a Microsoft Entra Privileged Identity Management (PIM).

Szerepkör hozzárendelése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Keresse meg a szükséges szerepkört. A szerepkörök szűréséhez használhatja a keresőmezőt vagy a Szűrők hozzáadása parancsot.

  4. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne adjon hozzá pipát a szerepkörhöz.

    Screenshot that shows selecting a role.

  5. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

    Ha a következő képtől eltérőt lát, lehetséges, hogy engedélyezve van a PIM. Lásd a következő szakaszt.

    Screenshot of Add assignments pane for selected role.

    Feljegyzés

    Ha egy beépített Microsoft Entra-szerepkört rendel egy vendégfelhasználóhoz, a vendégfelhasználó emelt szintű lesz, és ugyanazokkal az engedélyekkel rendelkezik, mint egy tagfelhasználó. A tagok és vendégfelhasználók alapértelmezett engedélyeiről további információt a Microsoft Entra ID alapértelmezett felhasználói engedélyei című témakörben talál .

  6. Válassza a Hozzáadás lehetőséget a szerepkör hozzárendeléséhez.

Szerepkör hozzárendelése a PIM használatával

Ha a Microsoft Entra Privileged Identity Management (PIM) engedélyezve van, további szerepkör-hozzárendelési képességekkel rendelkezik. Beállíthatja például, hogy egy felhasználó jogosult legyen egy szerepkörre, vagy megadhatja az időtartamot. Ha a PIM engedélyezve van, kétféleképpen oszthat ki szerepköröket a Microsoft Entra Felügyeleti központ használatával. Használhatja a Szerepkörök és rendszergazdák lapot vagy a PIM-felületet. Mindkét módszer ugyanazt a PIM-szolgáltatást használja.

Az alábbi lépéseket követve szerepköröket rendelhet hozzá a Szerepkörök és rendszergazdák lap használatával. Ha a Privileged Identity Management használatával szeretne szerepköröket hozzárendelni, olvassa el a Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben című témakört.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Screenshot of Roles and administrators page in Microsoft Entra ID when PIM enabled.

  3. Keresse meg a szükséges szerepkört. A szerepkörök szűréséhez használhatja a keresőmezőt vagy a Szűrők hozzáadása parancsot.

  4. Válassza ki a szerepkör nevét a szerepkör megnyitásához, és tekintse meg a jogosult, aktív és lejárt szerepkör-hozzárendeléseket. Ne adjon hozzá pipát a szerepkörhöz.

    Screenshot that shows selecting a role.

  5. Válassza a Hozzárendelések hozzáadása lehetőséget.

  6. Válassza a Nincs kijelölt tag lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

    Screenshot of Add assignments page and Select a member pane with PIM enabled.

  7. Válassza a Tovább lehetőséget.

  8. A Beállítás lapon válassza ki, hogy szeretné-e ezt a szerepkör-hozzárendelést jogosulttá vagy aktívvá tenni.

    A jogosult szerepkör-hozzárendelés azt jelenti, hogy a felhasználónak egy vagy több műveletet kell végrehajtania a szerepkör használatához. Az aktív szerepkör-hozzárendelés azt jelenti, hogy a felhasználónak nem kell semmilyen műveletet végrehajtania a szerepkör használatához. További információ a beállításokról: PIM terminológia.

    Screenshot of Add assignments page and Setting tab with PIM enabled.

  9. A többi beállítással megadhatja a hozzárendelés időtartamát.

  10. Válassza a Hozzárendelés lehetőséget a szerepkör hozzárendeléséhez.

PowerShell

Kövesse az alábbi lépéseket a Microsoft Entra-szerepkörök PowerShell-lel való hozzárendeléséhez.

Beállítás

  1. Nyisson meg egy PowerShell-ablakot, és az Import-Module használatával importálja a Microsoft Graph PowerShell-modult. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force

  2. PowerShell-ablakban Csatlakozás-MgGraph használatával jelentkezzen be a bérlőbe.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

  3. A Get-MgUser használatával kérje le azt a felhasználót, akihez szerepkört szeretne hozzárendelni.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"

Szerepkör hozzárendelése

  1. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"

  2. A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Szerepkör hozzárendelése jogosultként a PIM használatával

Ha a PIM engedélyezve van, további képességekkel rendelkezik, például jogosulttá teheti a felhasználót egy szerepkör-hozzárendelésre, vagy meghatározhatja a szerepkör-hozzárendelés kezdési és befejezési idejét. Ezek a képességek különböző PowerShell-parancsokat használnak. További információ a PowerShell és a PIM használatáról: PowerShell for Microsoft Entra szerepkörök a Privileged Identity Managementben.

  1. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"

  2. A következő paranccsal hozzon létre egy kivonattáblát a szerepkör felhasználóhoz rendeléséhez szükséges összes attribútum tárolásához. Az egyszerű azonosító lesz az a felhasználói azonosító, amelyhez hozzá szeretné rendelni a szerepkört. Ebben a példában a hozzárendelés csak 10 óráig érvényes.

    $params = @{
  "PrincipalId" = "053a6a7e-4a75-48bc-8324-d70f50ec0d91"
  "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
  "Justification" = "Add eligible assignment"
  "DirectoryScopeId" = "/"
  "Action" = "AdminAssign"
  "ScheduleInfo" = @{
    "StartDateTime" = Get-Date
    "Expiration" = @{
      "Type" = "AfterDuration"
      "Duration" = "PT10H"
      }
    }
   }

  3. A New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest használatával rendelje hozzá a szerepkört jogosultként. A szerepkör hozzárendelése után a Microsoft Entra Felügyeleti központban, az Identitásirányítási>Jogosultságalapú identitáskezelés>Microsoft Entra szerepkörök>hozzárendelései>jogosult hozzárendelések szakaszában fog tükröződni.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime

Microsoft Graph API

Az alábbi utasításokat követve rendelhet hozzá szerepkört a Microsoft Graph API használatával.

Szerepkör hozzárendelése

Ebben a példában egy objectID azonosítóval f8ca5a85-489a-49a0-b555-0a6d81e56f0d rendelkező biztonsági taghoz a számlázási Rendszergazda istrator szerepkör (szerepkördefiníció azonosítójab0f54661-2d74-4c50-afa3-1ec803f12efe) van hozzárendelve a bérlő hatókörében. A beépített szerepkörök nem módosítható szerepkörsablon-azonosítóinak listáját a Microsoft Entra beépített szerepköreivel tekintheti meg.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Szerepkör hozzárendelése a PIM használatával

Időhöz kötött jogosult szerepkör-hozzárendelés hozzárendelése

Ebben a példában egy objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d azonosítóval rendelkező biztonsági taghoz időhöz kötött jogosult szerepkör-hozzárendelés lesz hozzárendelve a Billing Rendszergazda istratorhoz (szerepkördefiníció azonosítójab0f54661-2d74-4c50-afa3-1ec803f12efe) 180 napig.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Állandó jogosult szerepkör-hozzárendelés hozzárendelése

Az alábbi példában a rendszer egy biztonsági taghoz hozzárendel egy állandó jogosult szerepkör-hozzárendelést a Billing Rendszergazda istratorhoz.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Szerepkör-hozzárendelés aktiválása

A szerepkör-hozzárendelés aktiválásához használja a Create roleAssignmentScheduleRequests API-t.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

A Microsoft Entra-szerepkörök a Microsoft Graph PIM API-n keresztüli kezelésével kapcsolatos további információkért tekintse meg a szerepkörkezelés áttekintését a privileged Identity Management (PIM) API-n keresztül.

Következő lépések