Membuat dan menetapkan peran kustom di ID Microsoft Entra
Artikel ini menjelaskan cara membuat peran kustom baru di MICROSOFT Entra ID. Untuk dasar-dasar peran kustom, lihat gambaran umum peran kustom. Peran dapat ditetapkan baik di cakupan tingkat direktori atau cakupan sumber daya pendaftaran aplikasi saja.
Peran kustom dapat dibuat di halaman Peran dan administrator pusat admin Microsoft Entra.
Prasyarat
- Lisensi Microsoft Entra ID P1 atau P2
- Administrator Peran Istimewa atau Administrator Global
- Modul Microsoft.Graph saat menggunakan PowerShell
- Persetujuan admin saat menggunakan Penjelajah Graph untuk Microsoft Graph API
Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.
Membuat peran di pusat admin Microsoft Entra
Membuat peran kustom baru untuk memberikan akses untuk mengelola pendaftaran aplikasi
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
Telusuri Peran Identitas>& Peran admin>& admin.
Pilih Peran kustom baru.
Pada tab Dasar, berikan nama dan deskripsi untuk peran tersebut lalu klik Berikutnya.
Pada tab Izin, pilih izin yang diperlukan untuk mengelola properti dasar dan properti informasi masuk pendaftaran aplikasi. Untuk deskripsi terperinci tentang setiap izin, lihat Subjenis dan izin pendaftaran aplikasi di ID Microsoft Entra.
Pertama, masukkan "informasi masuk" di bilah pencarian dan pilih izin
microsoft.directory/applications/credentials/update.
Berikutnya, masukkan "dasar" di bilah pencarian, pilih izin
microsoft.directory/applications/basic/update, lalu klik Berikutnya.
Pada tab Tinjau + buat, tinjau izin dan pilih Buat.
Peran kustom Anda akan muncul dalam daftar peran yang tersedia untuk ditetapkan.
Membuat peran menggunakan PowerShell
Masuk
Gunakan perintah Koneksi-MgGraph untuk masuk ke penyewa Anda.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Membuat peran kustom
Buat peran baru menggunakan skrip PowerShell berikut ini:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Menetapkan peran kustom menggunakan PowerShell
Tetapkan peran menggunakan skrip PowerShell ini:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Membuat peran dengan Microsoft Graph API
Menggunakan API Create unifiedRoleDefinition untuk membuat peran kustom.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitionsIsi
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }Catatan
"templateId": "GUID"adalah parameter opsional yang dikirim dalam isi tergantung pada persyaratan. Jika Anda memiliki persyaratan untuk membuat beberapa peran kustom yang berbeda dengan parameter umum, yang terbaik adalah membuat templat dan menentukan nilaitemplateId. Anda dapat menghasilkan nilaitemplateIdsebelumnya dengan menggunakan cmdlet PowerShell(New-Guid).Guid.Menggunakan API Create unifiedRoleAssignment untuk menetapkan peran kustom.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentsIsi
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Menetapkan peran kustom yang dicakup ke sumber daya
Seperti peran bawaan, peran kustom ditetapkan secara default di cakupan organisasi default untuk memberikan izin akses atas semua pendaftaran aplikasi di organisasi Anda. Selain itu, peran kustom dan beberapa peran bawaan yang relevan (tergantung pada jenis sumber daya Microsoft Entra) juga dapat ditetapkan pada cakupan satu sumber daya Microsoft Entra. Ini memungkinkan Anda untuk memberi pengguna izin untuk memperbarui informasi masuk dan properti dasar dari satu aplikasi tanpa harus membuat peran kustom kedua.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pengembang Aplikasi.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih pendaftaran aplikasi tempat Anda memberikan akses untuk mengelola. Anda mungkin harus memilih Semua aplikasi untuk melihat daftar lengkap pendaftaran aplikasi di organisasi Microsoft Entra Anda.
Di pendaftaran aplikasi, pilih Peran dan admin. Jika Anda belum membuatnya, petunjuk ada di prosedur sebelumnya.
Pilih peran untuk membuka halaman Penugasan.
Pilih Tambahkan penugasan untuk menambahkan pengguna. Pengguna akan diberikan izin apa pun hanya atas pendaftaran aplikasi yang dipilih.
Langkah berikutnya
- Jangan ragu untuk berbagi dengan kami di forum peran administratif Microsoft Entra.
- Untuk informasi selengkapnya tentang izin peran, lihat Peran bawaan Microsoft Entra.
- Untuk izin pengguna default, lihat perbandingan izin tamu dan pengguna anggota default.