Een aangepaste rol maken en toewijzen in Azure Active Directory

In dit artikel wordt beschreven hoe u nieuwe aangepaste rollen maakt in Azure Active Directory (Azure AD). Zie het overzicht van aangepaste rollen voor de basisbeginselen van aangepaste rollen. De rol kan alleen worden toegewezen aan het bereik op directoryniveau of een resourcebereik voor app-registratie.

Aangepaste rollen kunnen worden gemaakt op het tabblad Rollen en beheerders op de overzichtspagina van Azure AD.

Vereisten

  • Azure AD Premium P1- of P2-licentie
  • Beheerder van bevoorrechte rol of globale beheerder
  • AzureADPreview-module bij het gebruik van PowerShell
  • Beheerderstoestemming bij het gebruik van Graph Explorer voor Microsoft Graph API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Een rol maken in Azure Portal

Een nieuwe aangepaste rol maken om toegang te verlenen tot het beheren van app-registraties

  1. Meld u aan bij de Azure-portal of het Azure AD-beheercentrum.

  2. Selecteer Azure Active Directory-rollen>en -beheerders>Nieuwe aangepaste rol.

    Create or edit roles from the Roles and administrators page

  3. Geef op het tabblad Basisinformatie een naam en beschrijving op voor de rol en klik vervolgens op Volgende.

    provide a name and description for a custom role on the Basics tab

  4. Selecteer op het tabblad Machtigingen de machtigingen die nodig zijn om basiseigenschappen en referentie-eigenschappen van app-registraties te beheren. Zie Subtypen en machtigingen voor toepassingsregistratie in Azure Active Directory voor een gedetailleerde beschrijving van elke machtiging.

    1. Voer eerst referenties in de zoekbalk in en selecteer de microsoft.directory/applications/credentials/update machtiging.

      Select the permissions for a custom role on the Permissions tab

    2. Voer vervolgens 'Basic' in de zoekbalk in, selecteer de microsoft.directory/applications/basic/update machtiging en klik vervolgens op Volgende.

  5. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

Uw aangepaste rol wordt weergegeven in de lijst met beschikbare rollen die u wilt toewijzen.

Een rol maken met PowerShell

Verbinding maken met Azure

Gebruik de volgende opdracht om verbinding te maken met Azure Active Directory:

Connect-AzureAD

De aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

De aangepaste rol toewijzen met Behulp van PowerShell

Wijs de rol toe met behulp van het onderstaande PowerShell-script:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Een rol maken met de Microsoft Graph API

  1. Maak de roldefinitie.

    HTTP-aanvraag voor het maken van een aangepaste roldefinitie.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Hoofdtekst

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Notitie

    Dit "templateId": "GUID" is een optionele parameter die in de hoofdtekst wordt verzonden, afhankelijk van de vereiste. Als u meerdere verschillende aangepaste rollen met algemene parameters wilt maken, kunt u het beste een sjabloon maken en een templateId waarde definiëren. U kunt vooraf een templateId waarde genereren met behulp van de PowerShell-cmdlet (New-Guid).Guid.

  2. Maak de roltoewijzing.

    HTTP-aanvraag voor het maken van een aangepaste roldefinitie.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Hoofdtekst

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Een aangepaste rol toewijzen aan een resource

Net als ingebouwde rollen worden aangepaste rollen standaard toegewezen aan het standaardbereik van de organisatie om toegangsmachtigingen te verlenen voor alle app-registraties in uw organisatie. Daarnaast kunnen aangepaste rollen en enkele relevante ingebouwde rollen (afhankelijk van het type Azure AD-resource) ook worden toegewezen aan het bereik van één Azure AD-resource. Hiermee kunt u de gebruiker de machtiging geven om referenties en basiseigenschappen van één app bij te werken zonder een tweede aangepaste rol te hoeven maken.

  1. Meld u aan bij de Azure-portal of het Azure AD-beheercentrum met machtigingen voor toepassingsontwikkelaars.

  2. Selecteer Azure Active Directory>App-registraties.

  3. Selecteer de app-registratie waartoe u toegang verleent om te beheren. Mogelijk moet u alle toepassingen selecteren om de volledige lijst met app-registraties in uw Azure AD-organisatie weer te geven.

    Select the app registration as a resource scope for a role assignment

  4. Selecteer rollen en beheerders in de app-registratie. Als u er nog geen hebt gemaakt, staan de instructies in de voorgaande procedure.

  5. Selecteer de rol om de pagina Opdrachten te openen.

  6. Selecteer Toewijzing toevoegen om een gebruiker toe te voegen. De gebruiker krijgt alleen machtigingen voor de geselecteerde app-registratie.

Volgende stappen