Microsoft Entra ID에서 엔터프라이즈 앱을 관리하기 위한 사용자 지정 역할 만들기

  • 아티클

이 문서에서는 Microsoft Entra ID에서 사용자 및 그룹에 대한 엔터프라이즈 앱 할당을 관리할 수 있는 권한이 있는 사용자 지정 역할을 만드는 방법을 설명합니다. 역할 할당의 요소와 하위 형식, 권한 및 속성 집합과 같은 용어의 의미에 대해서는 사용자 지정 역할 개요를 참조하세요.

필수 조건

  • Microsoft Entra ID P1 또는 P2 라이선스
  • 권한 있는 역할 관리자 또는 전역 관리자
  • PowerShell을 사용할 때 설치된 Microsoft Graph PowerShell SDK
  • Microsoft Graph API용 Graph 탐색기 사용 시 관리자 동의

자세한 내용은 PowerShell 또는 Graph Explorer를 사용하기 위한 필수 조건을 참조하세요.

엔터프라이즈 앱 역할 권한

이 문서에서는 두 가지 엔터프라이즈 앱 권한에 대해 설명합니다. 모든 예에서는 업데이트 권한을 사용합니다.

  • 범위에서 사용자 및 그룹 할당을 읽으려면 microsoft.directory/servicePrincipals/appRoleAssignedTo/read 권한을 부여합니다.
  • 범위에서 사용자 및 그룹 할당을 관리하려면 microsoft.directory/servicePrincipals/appRoleAssignedTo/update 권한을 부여합니다.

업데이트 권한을 부여하면 담당자가 엔터프라이즈 앱에 대한 사용자 및 그룹의 할당을 관리할 수 있습니다. 사용자 및/또는 그룹 할당의 범위를 부여하는 것은 단일 애플리케이션 또는 모든 애플리케이션에 대해 가능합니다. 조직 전체 수준에서 부여되는 경우 담당자는 모든 애플리케이션에 대한 할당을 관리할 수 있습니다. 애플리케이션 수준에서 부여되는 경우 담당자는 지정된 애플리케이션에 대한 할당을 관리할 수 있습니다.

업데이트 권한을 부여하는 작업은 다음과 같이 두 단계로 수행됩니다.

  1. 권한이 microsoft.directory/servicePrincipals/appRoleAssignedTo/update인 사용자 지정 역할을 만듭니다.
  2. 사용자 또는 그룹에게 엔터프라이즈 앱에 대한 사용자 및 그룹 할당을 관리할 수 있는 권한을 부여합니다. 이는 범위를 조직 전체 수준 또는 단일 애플리케이션으로 설정할 수 있는 경우입니다.

Microsoft Entra 관리 센터

새 사용자 지정 역할 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

참고 항목

사용자 지정 역할은 조직 전체 수준에서 만들어지고 관리되며 조직의 개요 페이지에서만 사용할 수 있습니다.

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 새 사용자 지정 역할을 선택합니다.

    Add a new custom role from the roles list in Microsoft Entra ID

  4. 기본 사항 탭에서 역할의 이름에 "사용자 및 그룹 할당 관리"를 제공하고 역할 설명에 "사용자 및 그룹 할당을 관리하는 권한 부여"를 선택한 후 다음을 선택합니다.

    Provide a name and description for the custom role

  5. 사용 권한 탭에서 검색 상자에 "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"를 입력한 다음 원하는 사용 권한 옆의 확인란을 선택한 후 다음을 선택합니다.

    Add the permissions to the custom role

  6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

    Now you can create the custom role

Microsoft Entra 관리 센터를 사용하여 사용자에게 역할 할당

  1. 최소한 권한 있는 역할 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

  3. 사용자 및 그룹 할당 관리 역할을 선택합니다.

    Open Roles and Administrators and search for the custom role

  4. 할당 추가를 선택하고 원하는 사용자를 선택한 다음 선택을 클릭하여 사용자에게 역할 할당을 추가합니다.

    Add an assignment for the custom role to the user

할당 팁

  • 조직 전체에서 모든 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리하기 위해 담당자에게 권한을 부여하려면 조직에 대한 Microsoft Entra ID 개요 페이지의 조직 전체 역할 및 관리자 목록에서 시작합니다.

  • 담당자에게 특정 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리할 수 있는 권한을 부여하려면 Microsoft Entra ID에서 해당 앱으로 이동하여 해당 앱의 역할 및 관리자 목록을 엽니다. 새 사용자 지정 역할을 선택하고 사용자 또는 그룹 할당을 완료합니다. 담당자는 특정 앱에 대한 사용자 및 그룹 액세스만 관리할 수 있습니다.

  • 사용자 지정 역할 할당을 테스트하려면 담당자로 로그인하고 애플리케이션의 사용자 및 그룹 페이지를 열어 사용자 추가 옵션이 설정되어 있는지 확인합니다.

    Verify the user permissions

PowerShell

자세한 내용은 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당PowerShell을 사용하여 리소스 범위로 사용자 지정 역할 할당을 참조하세요.

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

사용자 지정 역할 할당

이 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Microsoft Graph API

Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다. 자세한 내용은 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당Microsoft Graph API를 사용하여 사용자 지정 관리자 역할 할당을 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Microsoft Graph API를 사용하여 사용자 지정 역할 할당

Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다. 역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의 ID 및 Microsoft Entra 리소스 범위를 결합합니다. 역할 할당의 요소에 대한 자세한 내용은 사용자 지정 역할 개요를 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

다음 단계