Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft
W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Microsoft Entra ID. Aby zapoznać się z podstawowymi rolami niestandardowymi, zobacz omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.
Role niestandardowe można tworzyć na stronie Role i administratorzy centrum administracyjnego firmy Microsoft Entra.
Wymagania wstępne
- Licencja Microsoft Entra ID P1 lub P2
- Administrator ról uprzywilejowanych lub administrator globalny
- Moduł Microsoft.Graph podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Tworzenie roli w centrum administracyjnym firmy Microsoft Entra
Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz pozycję Nowa rola niestandardowa.
Na karcie Podstawy podaj nazwę i opis roli, a następnie kliknij przycisk Dalej.
Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania właściwościami podstawowymi i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.
Najpierw wprowadź "poświadczenia" na pasku wyszukiwania i wybierz
microsoft.directory/applications/credentials/update
uprawnienie.Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz
microsoft.directory/applications/basic/update
uprawnienie, a następnie kliknij przycisk Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.
Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.
Tworzenie roli przy użyciu programu PowerShell
Zaloguj się
Użyj polecenia Połączenie-MgGraph, aby zalogować się do dzierżawy.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Tworzenie roli niestandardowej
Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId
Przypisywanie roli niestandardowej przy użyciu programu PowerShell
Przypisz rolę przy użyciu poniższego skryptu programu PowerShell:
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'POSTMAN'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Tworzenie roli za pomocą interfejsu API programu Microsoft Graph
Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Treść
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Uwaga
Jest
"templateId": "GUID"
to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej utworzyć szablon i zdefiniowaćtemplateId
wartość. Wartość można wygenerowaćtemplateId
wcześniej za pomocą polecenia cmdlet(New-Guid).Guid
programu PowerShell .Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Treść
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Przypisywanie roli niestandardowej o zakresie do zasobu
Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie w całej organizacji w celu udzielenia uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.
W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.
Wybierz rolę, aby otworzyć stronę Przypisania .
Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszelkie uprawnienia tylko do wybranej rejestracji aplikacji.
Następne kroki
- Możesz się z nami podzielić na forum ról administracyjnych firmy Microsoft Entra.
- Aby uzyskać więcej informacji na temat uprawnień ról, zobacz Wbudowane role firmy Microsoft.
- Aby uzyskać domyślne uprawnienia użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.