Microsoft Entra-rollen toewijzen aan gebruikers

Als u toegang wilt verlenen aan gebruikers in Microsoft Entra ID, wijst u Microsoft Entra-rollen toe. Een rol is een verzameling machtigingen. In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst met behulp van het Microsoft Entra-beheercentrum en PowerShell.

Vereisten

  • Beheerder voor bevoorrechte rollen of globale beheerder. Als u wilt weten wie uw bevoorrechte rol Beheer istrator of global Beheer istrator is, raadpleegt u De roltoewijzingen van Microsoft Entra weergeven
  • Microsoft Entra ID P2-licentie bij het gebruik van Privileged Identity Management (PIM)
  • Microsoft Graph PowerShell-module bij het gebruik van PowerShell
  • U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Microsoft Entra-beheercentrum

Volg deze stappen om Microsoft Entra-rollen toe te wijzen met behulp van het Microsoft Entra-beheercentrum. Uw ervaring verschilt, afhankelijk van of Microsoft Entra Privileged Identity Management (PIM) is ingeschakeld.

Een rol toewijzen

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

    Screenshot of Roles and administrators page in Microsoft Entra ID.

  3. Zoek de rol die u nodig hebt. U kunt het zoekvak of Filters toevoegen gebruiken om de rollen te filteren.

  4. Selecteer de naam van de rol om de rol te openen. Voeg geen vinkje toe naast de rol.

    Screenshot that shows selecting a role.

  5. Selecteer Toewijzingen toevoegen en selecteer vervolgens de gebruikers aan wie u deze rol wilt toewijzen.

    Als u iets anders ziet dan in de volgende afbeelding, is PIM mogelijk ingeschakeld. Bekijk de volgende sectie.

    Screenshot of Add assignments pane for selected role.

    Notitie

    Als u een ingebouwde Microsoft Entra-rol toewijst aan een gastgebruiker, wordt de gastgebruiker verhoogd met dezelfde machtigingen als een lidgebruiker. Zie Wat zijn de standaardgebruikersmachtigingen voor leden en gastgebruikers in Microsoft Entra ID?

  6. Selecteer Toevoegen om de rol toe te wijzen.

Een rol toewijzen met behulp van PIM

Als u Microsoft Entra Privileged Identity Management (PIM) hebt ingeschakeld, hebt u extra mogelijkheden voor roltoewijzing. U kunt bijvoorbeeld een gebruiker in aanmerking laten komen voor een rol of de duur instellen. Wanneer PIM is ingeschakeld, zijn er twee manieren waarop u rollen kunt toewijzen met behulp van het Microsoft Entra-beheercentrum. U kunt de pagina Rollen en beheerders of de PIM-ervaring gebruiken. In beide gevallen wordt dezelfde PIM-service gebruikt.

Volg deze stappen om rollen toe te wijzen met behulp van de pagina Rollen en beheerders. Als u rollen wilt toewijzen met Privileged Identity Management, raadpleegt u Microsoft Entra-rollen toewijzen in Privileged Identity Management.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

    Screenshot of Roles and administrators page in Microsoft Entra ID when PIM enabled.

  3. Zoek de rol die u nodig hebt. U kunt het zoekvak of Filters toevoegen gebruiken om de rollen te filteren.

  4. Selecteer de naam van de rol om de rol te openen en bekijk de in aanmerking komende, actieve en verlopen roltoewijzingen. Voeg geen vinkje toe naast de rol.

    Screenshot that shows selecting a role.

  5. Selecteer Toewijzingen toevoegen.

  6. Selecteer Geen lid geselecteerd en selecteer vervolgens de gebruikers aan wie u deze rol wilt toewijzen.

    Screenshot of Add assignments page and Select a member pane with PIM enabled.

  7. Selecteer Volgende.

  8. Selecteer op het tabblad Instelling of u deze roltoewijzing Komt in aanmerking of Actief wilt maken.

    Een in aanmerking komende roltoewijzing betekent dat de gebruiker een of meer acties moet uitvoeren om de rol te kunnen gebruiken. Een actieve roltoewijzing betekent dat de gebruiker geen actie hoeft uit te voeren om de rol te gebruiken. Zie PIM-terminologie voor meer informatie over de betekenis van deze instellingen.

    Screenshot of Add assignments page and Setting tab with PIM enabled.

  9. Gebruik de overige opties om de duur voor de toewijzing in te stellen.

  10. Selecteer Toewijzen om de rol toe te wijzen.

Powershell

Volg deze stappen om Microsoft Entra-rollen toe te wijzen met behulp van PowerShell.

Instellingen

  1. Open een PowerShell-venster en gebruik Import-Module om de Microsoft Graph PowerShell-module te importeren. Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. Gebruik in een PowerShell-venster Verbinding maken-MgGraph om u aan te melden bij uw tenant.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Gebruik Get-MgUser om de gebruiker aan wie u een rol wilt toewijzen te krijgen.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Een rol toewijzen

  1. Gebruik Get-MgRoleManagementDirectoryRoleDefinition om de rol op te halen die u wilt toewijzen.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Gebruik New-MgRoleManagementDirectoryRoleAssignment om de rol toe te wijzen.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Een rol toewijzen als in aanmerking komend met behulp van PIM

Als PIM is ingeschakeld, hebt u aanvullende mogelijkheden, zoals een gebruiker in aanmerking laten komen voor een roltoewijzing of de begin- en eindtijd van een roltoewijzing definiƫren. Voor deze mogelijkheden zijn verschillende sets PowerShell-opdrachten nodig. Zie PowerShell voor Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het gebruik van PowerShell en PIM.

  1. Gebruik Get-MgRoleManagementDirectoryRoleDefinition om de rol op te halen die u wilt toewijzen.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Gebruik de volgende opdracht om een hash-tabel te maken om alle benodigde kenmerken op te slaan die nodig zijn om de rol toe te wijzen aan de gebruiker. De principal-id is de gebruikers-id waaraan u de rol wilt toewijzen. In dit voorbeeld is de toewijzing slechts 10 uur geldig.

    $params = @{
      "PrincipalId" = "053a6a7e-4a75-48bc-8324-d70f50ec0d91"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
       }
    
  3. Gebruik New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest om de rol toe te wijzen als in aanmerking komend. Zodra de rol is toegewezen, wordt deze weergegeven in het Microsoft Entra-beheercentrum in het gedeelte Identity governance>Privileged Identity Management>Microsoft Entra-rollentoewijzingen>>die in aanmerking komen voor toewijzingen.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

Microsoft Graph API

Volg deze instructies om een rol toe te wijzen met behulp van de Microsoft Graph API.

Een rol toewijzen

In dit voorbeeld wordt de rol Factureringsbeheerder (roldefinitie-id b0f54661-2d74-4c50-afa3-1ec803f12efe) met tenantbereik toegewezen aan een beveiligingsprincipal met objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d. Zie Ingebouwde rollen van Microsoft Entra voor een overzicht van de onveranderbare rolsjabloon-id's van alle ingebouwde rollen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Een rol toewijzen met behulp van PIM

Een tijdgebonden in aanmerking komende roltoewijzing toewijzen

In dit voorbeeld wordt de tijdgebonden in aanmerking komende roltoewijzing Factureringsbeheerder (roldefinitie-id b0f54661-2d74-4c50-afa3-1ec803f12efe) voor 180 dagen toegewezen aan een beveiligingsprincipal met objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Een permanente in aanmerking komende roltoewijzing toewijzen

In het volgende voorbeeld wordt de permanente in aanmerking komende rol Factureringsbeheerder toegewezen aan een beveiligingsprincipal.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Een roltoewijzing activeren

Als u de roltoewijzing wilt activeren, gebruikt u de API roleAssignmentScheduleRequests maken.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Voor meer informatie over het beheren van Microsoft Entra-rollen via de PIM-API in Microsoft Graph raadpleegt u Overzicht van rolbeheer via de PIM-API (Privileged Identity Management).

Volgende stappen