Egyéni szerepkör létrehozása a Microsoft Entra-azonosítóban

Ez a cikk bemutatja, hogyan hozhat létre egyéni szerepkört a Microsoft Entra-erőforrásokhoz való hozzáférés kezeléséhez a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Ha ehelyett egyéni szerepkört szeretne létrehozni az Azure-erőforrásokhoz való hozzáférés kezeléséhez, olvassa el az Azure-beli egyéni szerepkörök létrehozását vagy frissítését az Azure Portalon.

Az egyéni szerepkörök alapjaiért tekintse meg az egyéni szerepkörök áttekintését. A szerepkör a címtárszintű hatókörben vagy csak az alkalmazásregisztrációs erőforrás hatókörében rendelhető hozzá. A Microsoft Entra-szervezetben létrehozható egyéni szerepkörök maximális számáról a Microsoft Entra szolgáltatás korlátait és korlátozásait ismertető cikkben tájékozódhat.

Előfeltételek

• Microsoft Entra ID P1 vagy P2 licenc
• Kiemelt szerepkör-rendszergazda
• Microsoft Graph PowerShell-modul a PowerShell használatakor
• Rendszergazdai hozzájárulás a Graph Explorer Microsoft Graph API-hoz való használatakor

További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.

Felügyeleti központ

Egyéni szerepkör létrehozása

Ezek a lépések bemutatják, hogyan hozhat létre egyéni szerepkört a Microsoft Entra felügyeleti központban az alkalmazásregisztrációk kezeléséhez.

1. Jelentkezzen be a Microsoft Entra adminisztrációs központba legalább kiváltságos szerepkör rendszergazdaként.

2. Tallózással keresse meg a Entra ID>Szerepkörök és rendszergazdák oldalát.

3. Válassza az Új egyéni szerepkör lehetőséget.

   

4. Az Alapszintű beállítások lapon adja meg a szerepkör nevét és leírását.

   Az alapkonfigurációs engedélyeket egyéni szerepkörből klónozhatja, de beépített szerepkört nem klónozhat.

   

5. Az Engedélyek lapon válassza ki az alkalmazásregisztrációk alapvető tulajdonságainak és hitelesítő adatainak kezeléséhez szükséges engedélyeket. Az egyes engedélyek részletes leírását a Microsoft Entra ID alkalmazásregisztrációs altípusai és engedélyei című témakörben találja.

   1. Először írja be a "hitelesítő adatokat" a keresősávba, és válassza ki a microsoft.directory/applications/credentials/update engedélyt.

      

   2. Ezután írja be az "alapszintű" kifejezést a keresősávba, válassza ki az engedélyt, majd kattintson a microsoft.directory/applications/basic/updateTovább gombra.

6. A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.

   Az egyéni szerepkör megjelenik a hozzárendelni kívánt szerepkörök listájában.

PowerShell

Bejelentkezés

A Connect-MgGraph paranccsal jelentkezzen be a bérlőbe.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Egyéni szerepkör létrehozása

Hozzon létre egy új szerepkört a következő PowerShell-szkripttel:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Egyéni szerepkör frissítése

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Egyéni szerepkör törlése

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API

Egyéni szerepkör létrehozása

Kövesse az alábbi lépéseket:

1. Egyéni szerepkör létrehozásához használja az UnifiedRoleDefinition API-t.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Test

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Jegyzet

   A "templateId": "GUID" egy opcionális paraméter, amelyet a rendszer a követelménytől függően a törzsbe küld. Ha több különböző egyéni szerepkört kell létrehoznia közös paraméterekkel, a legjobb, ha létrehoz egy sablont, és definiál egy templateId értéket. Előre létrehozhat templateId értéket a PowerShell-parancsmag (New-Guid).Guidhasználatával.

2. Az egyéni szerepkör hozzárendeléséhez használja a Create unifiedRoleAssignment API-t.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Test

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Kapcsolódó tartalom

• Microsoft Entra-szerepkörök hozzárendelése
• A Microsoft Entra beépített szerepkörei
• Az alapértelmezett vendég- és tagfelhasználói engedélyek összehasonlítása