Membuat peran kustom untuk mengelola aplikasi perusahaan di MICROSOFT Entra ID

Artikel ini menjelaskan cara membuat peran kustom dengan izin untuk mengelola penetapan aplikasi perusahaan untuk pengguna dan grup di ID Microsoft Entra. Untuk elemen penetapan peran dan arti istilah seperti subtipe, izin, dan set properti, lihat gambaran umum peran kustom.

Prasyarat

• Lisensi Microsoft Entra ID P1 atau P2
• Administrator Peran Privileged
• Microsoft Graph PowerShell SDK terinstal saat menggunakan PowerShell
• Persetujuan admin saat menggunakan Penjelajah Graph untuk Microsoft Graph API

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Izin peran aplikasi perusahaan

Ada dua izin aplikasi perusahaan yang dibahas dalam artikel ini. Semua contoh menggunakan izin pembaruan.

• Untuk membaca penetapan pengguna dan grup pada cakupan, beri microsoft.directory/servicePrincipals/appRoleAssignedTo/read izin
• Untuk mengelola penetapan pengguna dan grup pada cakupan, beri microsoft.directory/servicePrincipals/appRoleAssignedTo/update izin

Memberikan hasil izin pembaruan di penerima tugas yang dapat mengelola tugas pengguna dan grup ke aplikasi perusahaan. Cakupan penetapan pengguna dan/atau grup dapat diberikan untuk satu aplikasi atau diberikan untuk semua aplikasi. Jika diberikan di tingkat organisasi, penerima tugas dapat mengelola tugas untuk semua aplikasi. Jika dibuat pada tingkat aplikasi, penerima tugas hanya dapat mengelola tugas hanya untuk aplikasi yang ditentukan.

Pemberian izin pembaruan dilakukan dalam dua langkah:

1. Buat peran kustom dengan izin microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Beri izin kepada pengguna atau grup untuk mengelola penetapan pengguna dan grup ke aplikasi perusahaan. Ini adalah ketika Anda dapat mengatur cakupan ke tingkat organisasi atau ke satu aplikasi.

Pusat admin Microsoft Entra

Membuat peran kustom baru

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Catatan

Peran kustom dibuat dan dikelola di tingkat organisasi dan hanya tersedia dari halaman Gambaran Umum organisasi.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

2. Telusuri Peran Identitas>& Peran admin>& admin.

3. Pilih Peran kustom baru.

   

4. Pada tab Dasar, berikan "Kelola penetapan pengguna dan grup" untuk nama peran dan "Beri izin untuk mengelola penetapan pengguna dan grup" untuk deskripsi peran, lalu pilih Berikutnya.

   

5. Pada tab Izin, masukkan "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" di kotak pencarian, lalu pilih kotak centang di samping izin yang diinginkan, lalu pilih Berikutnya.

   

6. Pada tab Tinjau + buat, tinjau izin dan pilih Buat.

   

Menetapkan peran kepada pengguna menggunakan pusat admin Microsoft Entra

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

2. Telusuri Peran Identitas>& Peran admin>& admin.

3. Pilih peran Kelola penetapan pengguna dan grup.

   

4. Pilih Tambahkan penugasan, pilih pengguna yang diinginkan, lalu klik Pilih untuk menambahkan penetapan peran kepada pengguna.

   

Tips penugasan

• Untuk memberikan izin kepada penerima tugas guna mengelola akses pengguna dan grup untuk semua aplikasi perusahaan di seluruh organisasi, mulai dari daftar Peran dan Administrator di seluruh organisasi di halaman Gambaran Umum ID Microsoft Entra untuk organisasi Anda.

• Untuk memberikan izin kepada penerima tugas guna mengelola akses pengguna dan grup untuk aplikasi perusahaan tertentu, buka aplikasi tersebut di ID Microsoft Entra dan buka di daftar Peran dan Administrator untuk aplikasi tersebut. Pilih peran kustom baru dan selesaikan penugasan pengguna atau grup. Penerima tugas hanya dapat mengelola pengguna dan akses grup untuk aplikasi tertentu.

• Untuk menguji penetapan peran kustom, masuk sebagai penerima tugas dan buka laman Pengguna dan grup aplikasi untuk memverifikasi bahwa opsi Tambahkan pengguna diaktifkan.

  

PowerShell

Untuk detail selengkapnya, lihat Membuat dan menetapkan peran kustom di MICROSOFT Entra ID dan Menetapkan peran kustom dengan cakupan sumber daya menggunakan PowerShell.

Membuat peran kustom

Buat peran baru menggunakan skrip PowerShell berikut ini:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Menetapkan peran kustom

Tetapkan peran menggunakan skrip PowerShell ini.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

API Microsoft Graph

Menggunakan API Create unifiedRoleDefinition untuk membuat peran kustom. Untuk informasi selengkapnya, lihat Membuat dan menetapkan peran kustom di MICROSOFT Entra ID dan Menetapkan peran admin kustom menggunakan Microsoft Graph API.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Menetapkan peran kustom menggunakan Microsoft Graph API

Menggunakan API Create unifiedRoleAssignment untuk menetapkan peran kustom. Penetapan peran menggabungkan ID utama keamanan (yang dapat menjadi pengguna atau perwakilan layanan), ID definisi peran, dan cakupan sumber daya Microsoft Entra. Untuk informasi selengkapnya tentang elemen penetapan peran, lihat gambaran umum peran kustom

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Langkah berikutnya

• Jelajahi izin peran kustom yang tersedia untuk aplikasi perusahaan