Membuat dan menetapkan peran kustom di Azure Active Directory
Artikel ini menjelaskan cara membuat peran kustom baru di Azure Active Directory (AAD). Untuk dasar-dasar peran kustom, lihat gambaran umum peran kustom. Peran dapat ditetapkan baik di cakupan tingkat direktori atau cakupan sumber daya pendaftaran aplikasi saja.
Peran kustom dapat dibuat di tab Peran dan admin di halaman gambaran umum AAD.
Prasyarat
- Lisensi Azure AD Premium P1 atau P2
- Administrator Peran Istimewa atau Administrator Global
- Modul AzureADPreview saat menggunakan PowerShell
- Persetujuan admin saat menggunakan penjelajah Graph untuk Microsoft Graph API
Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Penjelajah Graph.
Membuat peran di portal Microsoft Azure
Membuat peran kustom baru untuk memberikan akses untuk mengelola pendaftaran aplikasi
Masuk ke portal Azure.
Pilih Azure Active DirectoryPeran dan adminPeran kustom baru.
Pada tab Dasar, berikan nama dan deskripsi untuk peran tersebut lalu klik Berikutnya.
Pada tab Izin, pilih izin yang diperlukan untuk mengelola properti dasar dan properti informasi masuk pendaftaran aplikasi. Untuk deskripsi mendetail tentang setiap izin, lihat Izin dan subtipe pendaftaran aplikasi di Azure Active Directory.
Pertama, masukkan "informasi masuk" di bilah pencarian dan pilih izin
microsoft.directory/applications/credentials/update.
Berikutnya, masukkan "dasar" di bilah pencarian, pilih izin
microsoft.directory/applications/basic/update, lalu klik Berikutnya.
Pada tab Ulas + buat, ulas izin dan pilih Buat.
Peran kustom Anda akan muncul dalam daftar peran yang tersedia untuk ditetapkan.
Membuat peran menggunakan PowerShell
Menyambungkan ke Azure
Untuk menyambungkan ke Azure Active Directory, gunakan perintah berikut ini:
Connect-AzureAD
Membuat peran kustom
Buat peran baru menggunakan skrip PowerShell berikut ini:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
Menetapkan peran kustom menggunakan PowerShell
Tetapkan peran menggunakan skrip PowerShell ini:
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Membuat peran dengan Microsoft Graph API
Menggunakan API Create unifiedRoleDefinition untuk membuat peran kustom.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitionsIsi
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }Catatan
"templateId": "GUID"adalah parameter opsional yang dikirim dalam isi tergantung pada persyaratan. Jika Anda memiliki persyaratan untuk membuat beberapa peran kustom yang berbeda dengan parameter umum, yang terbaik adalah membuat templat dan menentukan nilaitemplateId. Anda dapat menghasilkan nilaitemplateIdsebelumnya dengan menggunakan cmdlet PowerShell(New-Guid).Guid.Menggunakan API Create unifiedRoleAssignment untuk menetapkan peran kustom.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentsIsi
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Menetapkan peran kustom yang dicakup ke sumber daya
Seperti peran bawaan, peran kustom ditetapkan secara default di cakupan organisasi default untuk memberikan izin akses atas semua pendaftaran aplikasi di organisasi Anda. Selain itu, peran kustom dan beberapa peran bawaan yang relevan (tergantung pada jenis sumber daya Microsoft Azure AD) juga dapat ditetapkan pada lingkup satu sumber daya Microsoft Azure AD. Ini memungkinkan Anda untuk memberi pengguna izin untuk memperbarui informasi masuk dan properti dasar dari satu aplikasi tanpa harus membuat peran kustom kedua.
Masuk ke portal Azure dengan izin Pengembang Aplikasi.
Pilih Azure Active Directory>Pendaftaran aplikasi.
Pilih pendaftaran aplikasi tempat Anda memberikan akses untuk mengelola. Anda mungkin harus memilih Semua aplikasi untuk melihat daftar lengkap pendaftaran aplikasi di organisasi AAD Anda.
Di pendaftaran aplikasi, pilih Peran dan admin. Jika Anda belum membuatnya, petunjuk ada di prosedur sebelumnya.
Pilih peran untuk membuka halaman Penugasan.
Pilih Tambahkan penugasan untuk menambahkan pengguna. Pengguna akan diberikan izin apa pun hanya atas pendaftaran aplikasi yang dipilih.
Langkah berikutnya
- Jangan ragu untuk berbagi dengan kami di forum peran administratif Azure Active Directory.
- Untuk informasi selengkapnya tentang izin peran, lihat peran bawaan Microsoft Azure AD.
- Untuk izin pengguna default, lihat perbandingan izin tamu dan pengguna anggota default.