Membuat dan menetapkan peran kustom di ID Microsoft Entra

Artikel ini menjelaskan cara membuat peran kustom baru di MICROSOFT Entra ID. Untuk dasar-dasar peran kustom, lihat gambaran umum peran kustom. Peran dapat ditetapkan baik di cakupan tingkat direktori atau cakupan sumber daya pendaftaran aplikasi saja.

Peran kustom dapat dibuat di halaman Peran dan administrator pusat admin Microsoft Entra.

Prasyarat

  • Lisensi Microsoft Entra ID P1 atau P2
  • Administrator Peran Privileged
  • Modul Microsoft.Graph saat menggunakan PowerShell
  • Persetujuan admin saat menggunakan Penjelajah Graph untuk Microsoft Graph API

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Membuat peran di pusat admin Microsoft Entra

Membuat peran kustom baru untuk memberikan akses untuk mengelola pendaftaran aplikasi

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

  2. Telusuri Peran Identitas>& Peran admin>& admin.

  3. Pilih Peran kustom baru.

    Membuat atau mengedit peran dari halaman Peran dan administrator

  4. Pada tab Dasar , berikan nama dan deskripsi untuk peran tersebut.

    Anda dapat mengkloning izin garis besar dari peran kustom tetapi Anda tidak dapat mengkloning peran bawaan.

    berikan nama dan deskripsi untuk peran kustom pada tab Dasar

  5. Pada tab Izin, pilih izin yang diperlukan untuk mengelola properti dasar dan properti informasi masuk pendaftaran aplikasi. Untuk deskripsi terperinci tentang setiap izin, lihat Subjenis dan izin pendaftaran aplikasi di ID Microsoft Entra.

    1. Pertama, masukkan "informasi masuk" di bilah pencarian dan pilih izin microsoft.directory/applications/credentials/update.

      Pilih izin untuk peran kustom pada tab Izin

    2. Berikutnya, masukkan "dasar" di bilah pencarian, pilih izin microsoft.directory/applications/basic/update, lalu klik Berikutnya.

  6. Pada tab Tinjau + buat, tinjau izin dan pilih Buat.

    Peran kustom Anda akan muncul dalam daftar peran yang tersedia untuk ditetapkan.

Membuat peran menggunakan PowerShell

Masuk

Gunakan perintah Connect-MgGraph untuk masuk ke penyewa Anda.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Membuat peran dengan Microsoft Graph API

Ikuti langkah-langkah ini:

  1. Menggunakan API Create unifiedRoleDefinition untuk membuat peran kustom.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Isi

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Catatan

    "templateId": "GUID" adalah parameter opsional yang dikirim dalam isi tergantung pada persyaratan. Jika Anda memiliki persyaratan untuk membuat beberapa peran kustom yang berbeda dengan parameter umum, yang terbaik adalah membuat templat dan menentukan nilai templateId. Anda dapat menghasilkan nilai templateId sebelumnya dengan menggunakan cmdlet PowerShell (New-Guid).Guid.

  2. Menggunakan API Create unifiedRoleAssignment untuk menetapkan peran kustom.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Isi

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Menetapkan peran kustom yang dilingkup ke sumber daya

Seperti peran bawaan, peran kustom ditetapkan secara default di cakupan organisasi default untuk memberikan izin akses atas semua pendaftaran aplikasi di organisasi Anda. Selain itu, peran kustom dan beberapa peran bawaan yang relevan (tergantung pada jenis sumber daya Microsoft Entra) juga dapat ditetapkan pada cakupan satu sumber daya Microsoft Entra. Ini memungkinkan Anda untuk memberi pengguna izin untuk memperbarui informasi masuk dan properti dasar dari satu aplikasi tanpa harus membuat peran kustom kedua.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pengembang Aplikasi.

  2. Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.

  3. Pilih pendaftaran aplikasi tempat Anda memberikan akses untuk mengelola. Anda mungkin harus memilih Semua aplikasi untuk melihat daftar lengkap pendaftaran aplikasi di organisasi Microsoft Entra Anda.

    Pilih pendaftaran aplikasi sebagai cakupan sumber daya untuk penetapan peran

  4. Di pendaftaran aplikasi, pilih Peran dan admin. Jika Anda belum membuatnya, petunjuk ada di prosedur sebelumnya.

  5. Pilih peran untuk membuka halaman Penugasan.

  6. Pilih Tambahkan penugasan untuk menambahkan pengguna. Pengguna akan diberikan izin apa pun hanya atas pendaftaran aplikasi yang dipilih.