Bewerken

Delen via


Een aangepaste rol maken en toewijzen in Microsoft Entra-id

In dit artikel wordt beschreven hoe u nieuwe aangepaste rollen maakt in Microsoft Entra-id. Zie het overzicht van aangepaste rollen voor de basisbeginselen van aangepaste rollen. De rol kan alleen worden toegewezen aan het bereik op mapniveau of een resourcebereik voor app-registratie.

Aangepaste rollen kunnen worden gemaakt op de pagina Rollen en beheerders van het Microsoft Entra-beheercentrum.

Vereisten

  • Licentie voor Microsoft Entra ID P1 of P2
  • Beheerder voor bevoorrechte rollen
  • Microsoft.Graph-module bij gebruik van PowerShell
  • U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Een rol maken in het Microsoft Entra-beheercentrum

Een nieuwe aangepaste rol maken om toegang te verlenen tot het beheren van app-registraties

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

  3. Selecteer Nieuwe aangepaste rol.

    Rollen maken of bewerken op de pagina Rollen en beheerders

  4. Geef op het tabblad Basisinformatie een naam en beschrijving op voor de rol.

    U kunt de basislijnmachtigingen van een aangepaste rol klonen, maar u kunt geen ingebouwde rol klonen.

    Geef een naam en beschrijving op voor een aangepaste rol op het tabblad Basis

  5. Selecteer op het tabblad Machtigingen de machtigingen die nodig zijn om basiseigenschappen en referentie-eigenschappen van app-registraties te beheren. Zie Subtypen en machtigingen voor toepassingsregistratie in Microsoft Entra-id voor een gedetailleerde beschrijving van elke machtiging.

    1. Voer eerst 'referenties' in de zoekbalk in en selecteer de microsoft.directory/applications/credentials/update-machtiging.

      De machtigingen voor een aangepaste rol selecteren op het tabblad Machtigingen

    2. Voer vervolgens 'basis' in de zoekbalk in, selecteer de microsoft.directory/applications/basic/update-machtiging en klik vervolgens op Volgende.

  6. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

    Uw aangepaste rol wordt weergegeven in de lijst met beschikbare rollen die kunnen worden toegewezen.

Een rol maken met Behulp van PowerShell

Aanmelden

Gebruik de opdracht Connect-MgGraph om u aan te melden bij uw tenant.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Een rol maken met de Microsoft Graph API

Volg vervolgens deze stappen:

  1. Gebruik de API unifiedRoleDefinition maken om een aangepaste rol te maken.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Hoofdtekst

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Notitie

    Het "templateId": "GUID" is een optionele parameter die in de hoofdtekst wordt verzonden, afhankelijk van de vereiste. Als u meerdere aangepaste rollen met algemene parameters moet maken, kunt u het beste een sjabloon maken en een templateId-waarde definiëren. U kunt vooraf een templateId-waarde genereren met behulp van de PowerShell-cmdlet (New-Guid).Guid.

  2. Gebruik de API unifiedRoleDefinition maken om een aangepaste toe te wijzen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Hoofdtekst

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Een aangepaste rol toewijzen aan een resource

Net als ingebouwde rollen worden aangepaste rollen standaard toegewezen aan het standaardbereik voor de hele organisatie om toegangsmachtigingen te verlenen voor alle app-registraties in uw organisatie. Daarnaast kunnen aangepaste rollen en enkele relevante ingebouwde rollen (afhankelijk van het type Microsoft Entra-resource) ook worden toegewezen aan het bereik van één Microsoft Entra-resource. Hiermee kunt u de gebruiker toestemming geven om referenties en basiseigenschappen van één app bij te werken zonder dat u een tweede aangepaste rol hoeft te maken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassingsontwikkelaar.

  2. Blader naar identiteitstoepassingen>> App-registraties.

  3. Selecteer de app-registratie waaraan u toegang verleent om te beheren. Mogelijk moet u alle toepassingen selecteren om de volledige lijst met app-registraties in uw Microsoft Entra-organisatie weer te geven.

    Selecteer de app-registratie als een reserveringsbereik voor een roltoewijzing

  4. Selecteer Rollen en beheerders in de app-registratie. Als u er nog geen hebt gemaakt, vindt u instructies in de voorgaande procedure.

  5. Selecteer de rol om de pagina Toewijzingen te openen.

  6. Selecteer Toewijzing toevoegen om een gebruiker toe te voegen. De gebruiker krijgt alleen machtigingen voor de geselecteerde app-registratie.