Menetapkan peran Microsoft Entra

Artikel ini menjelaskan cara menetapkan peran Microsoft Entra kepada pengguna dan grup menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Microsoft Graph API. Ini juga menjelaskan cara menetapkan peran pada cakupan yang berbeda, seperti penyewa, pendaftaran aplikasi, dan cakupan unit administratif.

Anda dapat menetapkan penetapan peran langsung dan tidak langsung kepada pengguna. Jika pengguna diberi peran oleh keanggotaan grup, tambahkan pengguna ke grup untuk menambahkan penetapan peran. Untuk informasi selengkapnya, lihat Menggunakan grup Microsoft Entra untuk mengelola penetapan peran.

Di MICROSOFT Entra ID, peran biasanya ditetapkan untuk diterapkan ke seluruh penyewa. Namun, Anda juga dapat menetapkan peran Microsoft Entra untuk sumber daya yang berbeda, seperti pendaftaran aplikasi atau unit administratif. Misalnya, Anda dapat menetapkan peran Administrator Helpdesk sehingga hanya berlaku untuk unit administratif tertentu dan bukan seluruh penyewa. Sumber daya yang diterapkan penetapan peran juga disebut cakupan. Pembatasan cakupan penetapan peran dapat diterapkan pada peran bawaan dan kustom. Untuk informasi selengkapnya tentang cakupan, lihat gambaran umum kontrol akses berbasis peran (RBAC) di MICROSOFT Entra ID.

Peran Microsoft Entra dalam PIM

Jika Anda memiliki lisensi Microsoft Entra ID P2 dan Privileged Identity Management (PIM), Anda memiliki kemampuan tambahan saat menetapkan peran, seperti membuat pengguna memenuhi syarat untuk penetapan peran atau menentukan waktu mulai dan berakhir untuk penetapan peran. Untuk informasi tentang menetapkan peran Microsoft Entra di PIM, lihat artikel berikut ini:

Metode	Informasi
Pusat admin Microsoft Entra	Menetapkan peran Microsoft Entra dalam Privileged Identity Management
Microsoft Graph PowerShell	Tutorial : Menetapkan peran Microsoft Entra dalam Privileged Identity Management menggunakan Microsoft Graph PowerShell
Microsoft Graph API	Mengelola penetapan peran Microsoft Entra menggunakan API PIM Menetapkan peran Microsoft Entra dalam Privileged Identity Management

Prasyarat

• Administrator Peran Berhak Istimewa
• modul Microsoft Graph PowerShell saat menggunakan perintah PowerShell
• Persetujuan admin saat menggunakan Graph Explorer untuk Microsoft Graph API

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Menetapkan peran dengan cakupan untuk penyewa

Bagian ini menjelaskan cara menetapkan peran di cakupan tingkat penyewa.

Pusat Admin

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Peran Istimewa .

2. Telusuri Identitas>Peran & admin>Peran & admin.

   

3. Pilih nama peran untuk membuka peran. Jangan tambahkan tanda centang di samping peran.

   

4. Pilih Tambahkan tugas lalu pilih pengguna atau grup yang ingin Anda tetapkan ke peran ini.

   Hanya grup yang dapat ditetapkan peran yang ditampilkan. Jika grup tidak tercantum, Anda harus membuat grup yang dapat ditetapkan peran. Untuk informasi selengkapnya, lihat Membuat grup yang dapat ditetapkan peran di MICROSOFT Entra ID.

   Jika pengalaman Anda berbeda dari cuplikan layar berikut, Anda mungkin memiliki Microsoft Entra ID P2 dan PIM. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di Privileged Identity Management.

   

5. Pilih Tambahkan untuk menetapkan peran.

Ikuti langkah-langkah ini untuk menetapkan peran Microsoft Entra menggunakan PowerShell.

1. Buka jendela PowerShell. Jika perlu, gunakan Install-Module untuk menginstal Microsoft Graph PowerShell. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Di jendela PowerShell, gunakan Connect-MgGraph untuk masuk ke akun tenant Anda.

   PowerShell

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Gunakan Get-MgUser untuk mendapatkan pengguna.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Gunakan Get-MgGroup untuk mendapatkan grup yang dapat ditetapkan peran.

   PowerShell

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Gunakan Get-MgRoleManagementDirectoryRoleDefinition untuk mendapatkan peran yang ingin Anda tetapkan.

   Untuk melihat daftar ID definisi peran untuk semua peran bawaan, lihat Microsoft Entra peran bawaan.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Atur tenant sebagai cakupan penugasan peran.

   PowerShell

   $directoryScope = '/'
   

6. Gunakan New-MgRoleManagementDirectoryRoleAssignment untuk menetapkan peran.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Berikut adalah cara lain agar Anda dapat menetapkan peran.

   PowerShell

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API

Ikuti instruksi ini untuk menetapkan peran menggunakan Microsoft Graph API di Graph Explorer.

1. Masuk ke dalam Graph Explorer.

2. Gunakan Daftar pengguna API untuk mendapatkan pengguna.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Gunakan Daftar grup API untuk mendapatkan grup yang dapat diberikan peran.

   HTTP

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Gunakan Daftar unifiedRoleDefinitions API untuk mendapatkan peran yang ingin Anda alokasikan.

   Untuk melihat daftar ID definisi peran untuk semua peran bawaan, lihat Microsoft Entra peran bawaan.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Gunakan API Buat unifiedRoleAssignment untuk menetapkan peran.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Jawaban

   HTTP

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Jika definisi utama atau peran tidak ada, respons tidak ditemukan.

   Jawaban

   HTTP

   HTTP/1.1 404 Not Found
   

Menetapkan peran dengan lingkup pendaftaran aplikasi

Peran bawaan dan peran kustom ditetapkan secara default di cakupan penyewa untuk memberikan izin akses atas semua pendaftaran aplikasi di organisasi Anda. Selain itu, peran kustom dan beberapa peran bawaan yang relevan (tergantung pada jenis sumber daya Microsoft Entra) juga dapat ditetapkan pada cakupan satu sumber daya Microsoft Entra. Ini memungkinkan Anda untuk memberi pengguna izin untuk memperbarui kredensial dan properti dasar dari satu aplikasi tanpa harus membuat peran kustom kedua.

Bagian ini menjelaskan cara menetapkan peran pada cakupan pendaftaran aplikasi.

Pusat Admin

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagaiPengembang Aplikasi .

2. Telusuri Identitas>Aplikasi>Pendaftaran aplikasi.

3. Pilih aplikasi. Anda dapat menggunakan kotak pencarian untuk menemukan aplikasi yang diinginkan.

   Anda mungkin harus memilih Semua aplikasi untuk melihat daftar lengkap pendaftaran aplikasi di penyewa Anda.

   

4. Pilih Peran dan administrator dari menu navigasi kiri untuk melihat daftar semua peran yang tersedia untuk ditetapkan melalui pendaftaran aplikasi.

   

5. Pilih peran yang diinginkan.

   Tips

   Anda tidak akan melihat seluruh daftar peran bawaan atau kustom Microsoft Entra di sini. Ini diharapkan. Kami menunjukkan peran yang memiliki izin yang terkait dengan mengelola pendaftaran aplikasi saja.

6. Pilih Tambahkan tugas lalu pilih pengguna atau grup yang ingin Anda tetapkan peran ini.

   

7. Pilih Tambahkan untuk menetapkan peran yang terlingkup dalam pendaftaran aplikasi.

Ikuti langkah-langkah ini untuk menetapkan peran Microsoft Entra di cakupan aplikasi menggunakan PowerShell.

1. Buka jendela PowerShell. Jika perlu, gunakan Install-Module untuk menginstal Microsoft Graph PowerShell. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Di jendela PowerShell, gunakan Connect-MgGraph untuk masuk ke akun tenant Anda.

   PowerShell

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Gunakan Get-MgUser untuk mendapatkan pengguna.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Untuk menetapkan peran ke perwakilan layanan alih-alih pengguna, gunakan perintah Get-MgServicePrincipal .

4. Gunakan Get-MgRoleManagementDirectoryRoleDefinition untuk mendapatkan peran yang ingin Anda tetapkan.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Gunakan Get-MgApplication untuk mendapatkan pendaftaran aplikasi yang ingin Anda jadikan lingkup dari penugasan peran.

   PowerShell

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Gunakan New-MgRoleManagementDirectoryRoleAssignment untuk menetapkan peran.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API

Ikuti instruksi ini untuk menetapkan peran di cakupan aplikasi menggunakan Microsoft Graph API di Graph Explorer.

1. Masuk ke dalam Graph Explorer.

2. Gunakan Daftar pengguna API untuk mendapatkan pengguna.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Gunakan Daftar unifiedRoleDefinitions API untuk mendapatkan peran yang ingin Anda alokasikan.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Gunakan Daftar aplikasi API untuk mendapatkan aplikasi yang ingin Anda tetapkan perannya sebagai batas cakupan.

   HTTP

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Gunakan API Buat unifiedRoleAssignment untuk menetapkan peran.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Jawaban

   HTTP

   HTTP/1.1 201 Created
   

   Nota

   Dalam contoh ini, directoryScopeId ditentukan sebagai /<ID>, tidak seperti bagian unit administratif. Hal ini berdasarkan desain. Cakupan /<ID> berarti prinsipal dapat mengelola objek Microsoft Entra tersebut. Cakupan /administrativeUnits/<ID> berarti prinsipal dapat mengelola anggota unit administratif (berdasarkan peran yang ditetapkan prinsipal), bukan unit administratif itu sendiri.

Menetapkan peran dengan cakupan unit administratif

Di MICROSOFT Entra ID, untuk kontrol administratif yang lebih terperinci, Anda dapat menetapkan peran Microsoft Entra dengan cakupan yang terbatas pada satu atau beberapa unit administratif . Saat peran Microsoft Entra ditetapkan pada cakupan unit administratif, izin peran hanya berlaku saat mengelola anggota unit administratif tersebut dan tidak berlaku untuk pengaturan atau konfigurasi yang sifatnya menyeluruh di tingkat tenant.

Misalnya, administrator yang diberi peran Administrator Grup di cakupan unit administratif dapat mengelola grup yang merupakan anggota unit administratif, tetapi mereka tidak dapat mengelola grup lain di penyewa. Mereka juga tidak dapat mengelola pengaturan tingkat penyewa yang terkait dengan grup, seperti kebijakan kedaluwarsa atau penamaan grup.

Bagian ini menjelaskan cara menetapkan peran Microsoft Entra dengan cakupan unit administratif.

Prasyarat

• Lisensi Microsoft Entra ID P1 atau P2 untuk setiap administrator unit administratif
• Lisensi Microsoft Entra ID Gratis untuk anggota unit administratif
• Administrator Peran Berhak Istimewa
• Modul Microsoft Graph PowerShell saat menggunakan PowerShell
• Persetujuan admin saat menggunakan Graph Explorer untuk Microsoft Graph API

Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

Peran yang dapat ditetapkan pada lingkup unit administratif

Peran-peran Microsoft Entra berikut dapat ditetapkan dengan unit administratif sebagai cakupannya. Selain itu, peran kustom apa pun dapat ditetapkan dengan cakupan unit administratif selama izin peran kustom mencakup setidaknya satu izin yang relevan dengan pengguna, grup, atau perangkat.

Peranan	Deskripsi
Administrator Autentikasi	Memiliki akses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna non-admin di unit administratif yang ditetapkan saja.
Administrator Perangkat Cloud	Akses terbatas untuk mengelola perangkat di ID Microsoft Entra.
Grup Administrator	Hanya dapat mengelola semua aspek grup di unit administratif yang ditetapkan.
Administrator Helpdesk	Dapat mengatur ulang kata sandi untuk non-administrator hanya di unit administratif yang ditetapkan.
Administrator Lisensi	Hanya dapat menetapkan, menghapus, dan memperbarui penetapan lisensi dalam unit administratif.
Administrator Kata Sandi	Dapat mengatur ulang kata sandi untuk non-administrator dalam unit administratif yang ditetapkan saja.
Administrator Printer	Dapat mengelola printer dan konektor printer. Untuk informasi selengkapnya, lihat Mendelegasikan administrasi printer di Universal Print.
Administrator Autentikasi Istimewa	Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk setiap pengguna (admin atau non-admin).
Administrator SharePoint	Hanya dapat mengelola grup Microsoft 365 di unit administratif yang ditetapkan. Untuk situs SharePoint yang terkait dengan grup Microsoft 365 dalam unit administratif, juga dapat memperbarui properti situs (nama situs, URL, dan kebijakan berbagi eksternal) menggunakan pusat admin Microsoft 365. Tidak dapat menggunakan pusat admin SharePoint atau API SharePoint untuk mengelola situs.
Administrator Teams	Hanya dapat mengelola grup Microsoft 365 di unit administratif yang ditetapkan. Dapat mengelola anggota tim di pusat admin Microsoft 365 untuk tim yang terkait dengan grup di unit administratif yang ditetapkan saja. Tidak dapat menggunakan pusat admin Teams.
Administrator Perangkat Teams	Dapat melakukan tugas terkait manajemen pada perangkat bersertifikat Teams.
Administrator Pengguna	Dapat mengelola semua aspek pengguna dan grup, termasuk mengatur ulang kata sandi untuk admin terbatas hanya dalam unit administratif yang ditetapkan. Saat ini tidak dapat mengelola foto profil pengguna.
<peran kustom>	Dapat melakukan tindakan yang berlaku untuk pengguna, grup, atau perangkat, sesuai dengan definisi peran kustom.

Izin peran tertentu hanya berlaku untuk pengguna nonadministrator saat ditetapkan dengan cakupan unit administratif. Dengan kata lain, unit administratif yang tercakup Administrator Helpdesk dapat mengatur ulang kata sandi untuk pengguna di unit administratif hanya jika pengguna tersebut tidak memiliki peran administrator. Daftar izin berikut dibatasi saat target tindakan adalah administrator lain:

• Membaca dan mengubah metode autentikasi pengguna, atau mengatur ulang kata sandi pengguna
• Mengubah properti pengguna sensitif seperti nomor telepon, alamat email alternatif, atau kunci rahasia Open Authorization (OAuth)
• Menghapus atau memulihkan akun pengguna

Prinsip keamanan yang dapat ditetapkan dengan cakupan unit administratif

Prinsip keamanan berikut dapat ditetapkan ke peran dengan cakupan unit administratif:

• Pengguna
• Grup yang dapat ditetapkan peran Microsoft Entra
• Prinsipal layanan

Perwakilan layanan dan pengguna tamu

Perwakilan layanan dan pengguna tamu tidak akan dapat menggunakan penetapan peran yang dicakup ke unit administratif kecuali mereka juga diberi izin yang sesuai untuk mengakses objek. Ini karena perwakilan layanan dan pengguna tamu tidak menerima izin baca direktori secara default, yang diperlukan untuk melakukan tindakan administratif. Untuk mengaktifkan perwakilan layanan atau pengguna tamu untuk menggunakan penetapan peran yang dicakup ke unit administratif, Anda harus menetapkan peran Pembaca Direktori (atau peran lain yang menyertakan izin baca) pada cakupan penyewa.

Saat ini belum memungkinkan untuk menetapkan izin baca direktori yang terbatas pada unit administratif. Untuk informasi selengkapnya tentang izin default untuk pengguna, lihat izin pengguna default.

Menetapkan peran dengan cakupan unit administratif

Bagian ini menjelaskan cara menetapkan peran di cakupan unit administratif.

Pusat Admin

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Peran Istimewa .

2. Telusuri ke Identitas>Peran admin &>Unit admin.

3. Pilih unit administratif.

   

4. Pilih Peran dan administrator dari menu navigasi kiri untuk melihat daftar semua peran yang tersedia untuk ditetapkan melalui unit administratif.

   

5. Pilih peran yang diinginkan.

   Tips

   Anda tidak akan melihat seluruh daftar peran bawaan atau kustom Microsoft Entra di sini. Ini diharapkan. Kami menunjukkan peran yang memiliki izin yang terkait dengan objek yang didukung dalam unit administratif. Untuk melihat daftar objek yang didukung dalam unit administratif, lihat unit Administratif di ID Microsoft Entra.

6. Pilih Tambahkan tugas lalu pilih pengguna atau grup yang ingin Anda tetapkan peran ini.

7. Pilih Tambahkan untuk menetapkan peran dalam lingkup unit administratif.

Ikuti langkah-langkah ini untuk menetapkan peran Microsoft Entra di cakupan unit administratif menggunakan PowerShell.

1. Buka jendela PowerShell. Jika perlu, gunakan Install-Module untuk menginstal Microsoft Graph PowerShell. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan PowerShell atau Graph Explorer.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Di jendela PowerShell, gunakan Connect-MgGraph untuk masuk ke akun tenant Anda.

   PowerShell

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Gunakan Get-MgUser untuk mendapatkan pengguna.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Gunakan Get-MgRoleManagementDirectoryRoleDefinition untuk mendapatkan peran yang ingin Anda tetapkan.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Gunakan Get-MgDirectoryAdministrativeUnit untuk mendapatkan unit administratif yang Anda inginkan menjadi cakupan penetapan peran.

   PowerShell

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Gunakan New-MgRoleManagementDirectoryRoleAssignment untuk menetapkan peran.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API

Ikuti instruksi ini untuk menetapkan peran di cakupan unit administratif menggunakan Microsoft Graph API di Graph Explorer.

Menetapkan peran menggunakan API Create unifiedRoleAssignment

1. Masuk ke dalam Graph Explorer.

2. Gunakan Daftar pengguna API untuk mendapatkan pengguna.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Gunakan Daftar unifiedRoleDefinitions API untuk mendapatkan peran yang ingin Anda alokasikan.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Gunakan API List administrativeUnits untuk mendapatkan unit administratif yang Anda inginkan agar penetapan peran dilingkup.

   HTTP

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Gunakan API Buat unifiedRoleAssignment untuk menetapkan peran.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Jawaban

   HTTP

   HTTP/1.1 201 Created
   

   Jika peran tidak didukung, responsnya adalah permintaan buruk.

   HTTP

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Nota

   Dalam contoh ini, directoryScopeId ditentukan sebagai /administrativeUnits/<ID>, bukan /<ID>. Hal ini berdasarkan desain. Cakupan /administrativeUnits/<ID> berarti prinsipal dapat mengelola anggota unit administratif (berdasarkan peran yang ditetapkan prinsipal), bukan unit administratif itu sendiri. Cakupan /<ID> berarti prinsipal dapat mengelola objek Microsoft Entra tersebut secara langsung. Di bagian pendaftaran aplikasi, Anda melihat bahwa cakupan adalah /<ID> karena peran yang dicakup dalam pendaftaran aplikasi memberikan hak istimewa untuk mengelola objek itu sendiri.

Menetapkan peran menggunakan Tambahkan scopedRoleMember API

Atau, Anda dapat menggunakan Menambahkan scopedRoleMember API untuk menetapkan peran dengan cakupan unit administratif.

Permintaan

HTTP

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Badan

HTTP

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Langkah berikutnya

• Daftar penugasan peran Microsoft Entra
• Menetapkan peran Microsoft Entra dalam Privileged Identity Management
• Menggunakan grup Microsoft Entra untuk mengelola penetapan peran
• Memecahkan peran Microsoft Entra yang ditetapkan pada grup