Creare ruoli personalizzati per gestire le app aziendali in Microsoft Entra ID

Questo articolo illustra come creare un ruolo personalizzato con autorizzazioni per gestire le assegnazioni di app aziendali per utenti e gruppi in Microsoft Entra ID. Per gli elementi delle assegnazioni di ruoli e il significato di termini quali sottotipo, autorizzazione e set di proprietà, vedere la panoramica dei ruoli personalizzati.

Prerequisiti

• Licenza Microsoft Entra ID P1 o P2
• Amministratore ruolo con privilegi
• Microsoft Graph PowerShell SDK installato quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Autorizzazioni per il ruolo dell'app aziendale

In questo articolo sono illustrate due autorizzazioni per le app aziendali. Tutti gli esempi usano l'autorizzazione di aggiornamento.

• Per leggere le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Per gestire le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Concedendo l'autorizzazione di aggiornamento, l'assegnatario può gestire le assegnazioni di utenti e gruppi per le app aziendali. L'ambito delle assegnazioni di utenti e/o gruppi può essere concesso per una singola applicazione o concesso a tutte le applicazioni. Se concesso a livello di organizzazione, l'assegnatario può gestire le assegnazioni per tutte le applicazioni. Se effettuato a livello di applicazione, l'assegnatario può gestire le assegnazioni solo per l'applicazione specificata.

La concessione dell'autorizzazione di aggiornamento viene eseguita in due passaggi:

1. Creare un ruolo personalizzato con l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Concedere a utenti o gruppi le autorizzazioni per gestire le assegnazioni di utenti e gruppi per le app aziendali. In questa fase è possibile impostare l'ambito a livello di organizzazione o di singola applicazione.

Interfaccia di amministrazione di Microsoft Entra

Creare un nuovo ruolo personalizzato

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Nota

I ruoli personalizzati vengono creati e gestiti a livello di organizzazione e sono disponibili solo dalla pagina Panoramica dell'organizzazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

3. Selezionare + Nuovo ruolo personalizzato.

   

4. Nella scheda Informazioni di base specificare "Gestisci assegnazioni di utenti e gruppi" per il nome del ruolo e "Concedi autorizzazioni per gestire le assegnazioni di utenti e gruppi" per la descrizione del ruolo e quindi selezionare Avanti.

   

5. Nella scheda Autorizzazioni immettere "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" nella casella di ricerca, quindi selezionare le caselle di controllo accanto alle autorizzazioni desiderate e quindi selezionare Avanti.

   

6. Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

   

Assegnare il ruolo a un utente usando l'interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

3. Selezionare il ruolo Gestisci assegnazioni di utenti e gruppi.

   

4. Selezionare Aggiungi assegnazione, selezionare l'utente desiderato e quindi fare clic su Seleziona per aggiungere un'assegnazione di ruolo all'utente.

   

Suggerimenti per l'assegnazione

• Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso ai gruppi per tutte le app aziendali a livello di organizzazione, iniziare dall'elenco Ruoli a livello di organizzazione e Amministrazione istrator nella pagina Panoramica di Microsoft Entra ID per l'organizzazione.

• Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso di gruppo per un'app aziendale specifica, passare a tale app in MICROSOFT Entra ID e aprire nell'elenco Ruoli e Amministrazione istrators per tale app. Selezionare il nuovo ruolo personalizzato e completare l'assegnazione di utenti o gruppi. Gli assegnatari possono gestire gli utenti e l'accesso ai gruppi solo per l'app specifica.

• Per testare l'assegnazione di ruolo personalizzata, accedere come assegnatario e aprire la pagina Utenti e gruppi di un'applicazione per verificare che l'opzione Aggiungi utente sia abilitata.

  

PowerShell

Per altri dettagli, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID e Assegnare ruoli personalizzati con ambito di risorsa tramite PowerShell.

Creare un ruolo personalizzato

Creare un nuovo ruolo con lo script PowerShell seguente:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Assegnare il ruolo personalizzato

Assegnare il ruolo usando questo script di PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

API di Microsoft Graph

Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato. Per altre informazioni, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID e Assegnare ruoli di amministratore personalizzati usando l'API Microsoft Graph.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Assegnare il ruolo personalizzato usando l'API Microsoft Graph

Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione del ruolo e un ambito della risorsa Microsoft Entra. Per altre informazioni sugli elementi di un'assegnazione di ruolo, vedere la panoramica dei ruoli personalizzati

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Passaggi successivi

• Esplorare le autorizzazioni dei ruoli personalizzate disponibili per le app aziendali