Szerkesztés

Megosztás a következőn keresztül:


Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz

A Microsoft Entra-azonosítóban lévő felhasználók hozzáférésének biztosításához Microsoft Entra-szerepköröket kell hozzárendelnie. A szerepkör egy engedélygyűjtemény. Ez a cikk bemutatja, hogyan rendelhet hozzá Microsoft Entra-szerepköröket a Microsoft Entra felügyeleti központ és a PowerShell használatával.

Előfeltételek

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Microsoft Entra Felügyeleti központ

A Microsoft Entra-szerepkörök a Microsoft Entra felügyeleti központ használatával történő hozzárendeléséhez kövesse az alábbi lépéseket. A felhasználói élmény attól függően eltérő lesz, hogy engedélyezve van-e a Microsoft Entra Privileged Identity Management (PIM).

Szerepkör hozzárendelése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Képernyőkép a Microsoft Entra ID Szerepkörök és rendszergazdák lapjáról.

  3. Keresse meg a szükséges szerepkört. A szerepkörök szűréséhez használhatja a keresőmezőt vagy a Szűrők hozzáadása parancsot.

  4. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne adjon hozzá pipát a szerepkörhöz.

    Egy szerepkör kiválasztását bemutató képernyőkép.

  5. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

    Ha a következő képtől eltérőt lát, lehetséges, hogy engedélyezve van a PIM. Lásd a következő szakaszt.

    Képernyőkép a Kijelölt szerepkör Hozzárendelések hozzáadása paneljéről.

    Feljegyzés

    Ha egy beépített Microsoft Entra-szerepkört rendel egy vendégfelhasználóhoz, a vendégfelhasználó emelt szintű lesz, és ugyanazokkal az engedélyekkel rendelkezik, mint egy tagfelhasználó. A tagok és vendégfelhasználók alapértelmezett engedélyeiről további információt a Microsoft Entra ID alapértelmezett felhasználói engedélyei című témakörben talál .

  6. A szerepkör hozzárendeléséhez válassza a Hozzáadás lehetőséget.

Szerepkör hozzárendelése a PIM használatával

Ha a Microsoft Entra Privileged Identity Management (PIM) engedélyezve van, további szerepkör-hozzárendelési képességekkel rendelkezik. Beállíthatja például, hogy egy felhasználó jogosult legyen egy szerepkörre, vagy megadhatja az időtartamot. Ha a PIM engedélyezve van, kétféleképpen oszthat ki szerepköröket a Microsoft Entra Felügyeleti központ használatával. Használhatja a Szerepkörök és rendszergazdák lapot vagy a PIM-felületet. Mindkét módszer ugyanazt a PIM-szolgáltatást használja.

Az alábbi lépéseket követve szerepköröket rendelhet hozzá a Szerepkörök és rendszergazdák lap használatával. Ha a Privileged Identity Management használatával szeretne szerepköröket hozzárendelni, olvassa el a Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben című témakört.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Képernyőkép a Microsoft Entra ID Szerepkörök és rendszergazdák lapjáról, amikor a PIM engedélyezve van.

  3. Keresse meg a szükséges szerepkört. A szerepkörök szűréséhez használhatja a keresőmezőt vagy a Szűrők hozzáadása parancsot.

  4. Válassza ki a szerepkör nevét a szerepkör megnyitásához, és tekintse meg a jogosult, aktív és lejárt szerepkör-hozzárendeléseket. Ne adjon hozzá pipát a szerepkörhöz.

    Egy szerepkör kiválasztását bemutató képernyőkép.

  5. Válassza a Hozzárendelések hozzáadása lehetőséget.

  6. Válassza a Nincs kijelölt tag lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat.

    Képernyőkép a Hozzárendelések hozzáadása lapról és a Tag kiválasztása panelről, amelyen engedélyezve van a PIM.

  7. Válassza a Tovább lehetőséget.

  8. A Beállítás lapon válassza ki, hogy szeretné-e ezt a szerepkör-hozzárendelést jogosulttá vagy aktívvá tenni.

    A jogosult szerepkör-hozzárendelés azt jelenti, hogy a felhasználónak egy vagy több műveletet kell végrehajtania a szerepkör használatához. Az aktív szerepkör-hozzárendelés azt jelenti, hogy a felhasználónak nem kell semmilyen műveletet végrehajtania a szerepkör használatához. További információ a beállításokról: PIM terminológia.

    Képernyőkép a Hozzárendelések hozzáadása lapról és a Beállítás lapról, amelyen engedélyezve van a PIM.

  9. A többi beállítással megadhatja a hozzárendelés időtartamát.

  10. Válassza a Hozzárendelés lehetőséget a szerepkör hozzárendeléséhez.

PowerShell

Kövesse az alábbi lépéseket a Microsoft Entra-szerepkörök PowerShell-lel való hozzárendeléséhez.

Beállítás

  1. Nyisson meg egy PowerShell-ablakot, és az Import-Module használatával importálja a Microsoft Graph PowerShell-modult. További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. PowerShell-ablakban a Connect-MgGraph használatával jelentkezzen be a bérlőbe.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. A Get-MgUser használatával kérje le azt a felhasználót, akihez szerepkört szeretne hozzárendelni.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Szerepkör hozzárendelése

  1. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. A Szerepkör hozzárendeléséhez használja a New-MgRoleManagementDirectoryRoleAssignment parancsot.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Szerepkör hozzárendelése jogosultként a PIM használatával

Ha a PIM engedélyezve van, további képességekkel rendelkezik, például jogosulttá teheti a felhasználót egy szerepkör-hozzárendelésre, vagy meghatározhatja a szerepkör-hozzárendelés kezdési és befejezési idejét. Ezek a képességek különböző PowerShell-parancsokat használnak. További információ a PowerShell és a PIM használatáról: PowerShell for Microsoft Entra szerepkörök a Privileged Identity Managementben.

  1. A Get-MgRoleManagementDirectoryRoleDefinition használatával szerezze be a hozzárendelni kívánt szerepkört.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. A következő paranccsal hozzon létre egy kivonattáblát a szerepkör felhasználóhoz rendeléséhez szükséges összes attribútum tárolásához. Az egyszerű azonosító lesz az a felhasználói azonosító, amelyhez hozzá szeretné rendelni a szerepkört. Ebben a példában a hozzárendelés csak 10 óráig érvényes.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. A New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest használatával rendelje hozzá a szerepkört jogosultként. A szerepkör hozzárendelése után a Microsoft Entra Felügyeleti központban, az Identitásirányítási>Jogosultságalapú identitáskezelés>Microsoft Entra szerepkörök>hozzárendelései>jogosult hozzárendelések szakaszában fog tükröződni.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    Microsoft Graph API

    Az alábbi utasításokat követve rendelhet hozzá szerepkört a Microsoft Graph API használatával.

    Szerepkör hozzárendelése

    Ebben a példában egy objectID azonosítóval aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb rendelkező biztonsági taghoz a számlázási rendszergazdai szerepkör (szerepkördefiníció azonosítója b0f54661-2d74-4c50-afa3-1ec803f12efe) van hozzárendelve a bérlő hatókörében. A beépített szerepkörök nem módosítható szerepkörsablon-azonosítóinak listáját a Microsoft Entra beépített szerepköreivel tekintheti meg.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Szerepkör hozzárendelése a PIM használatával

    Időhöz kötött jogosult szerepkör-hozzárendelés hozzárendelése

    Ebben a példában egy objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb azonosítóval rendelkező biztonsági taghoz 180 napig időhöz kötött jogosult szerepkör-hozzárendelés van hozzárendelve a számlázási rendszergazda (szerepkördefiníció azonosítója b0f54661-2d74-4c50-afa3-1ec803f12efe) számára.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Állandó jogosult szerepkör-hozzárendelés hozzárendelése

    Az alábbi példában a rendszer egy biztonsági taghoz hozzárendel egy állandó jogosult szerepkör-hozzárendelést a számlázási rendszergazda számára.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Szerepkör-hozzárendelés aktiválása

    A szerepkör-hozzárendelés aktiválásához használja a Create roleAssignmentScheduleRequests API-t.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    A Microsoft Entra-szerepkörök a Microsoft Graph PIM API-n keresztüli kezelésével kapcsolatos további információkért tekintse meg a szerepkörkezelés áttekintését a privileged Identity Management (PIM) API-n keresztül.