Tworzenie i przypisywanie roli niestandardowej w usłudze Azure Active Directory
W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Azure Active Directory (Azure AD). Podstawowe informacje na temat ról niestandardowych można znaleźć w temacie Omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.
Role niestandardowe można tworzyć na karcie Role i administratorzy na stronie przeglądu Azure AD.
Wymagania wstępne
- Licencja usługi Azure AD — wersja Premium P1 lub P2
- Administrator ról uprzywilejowanych lub administrator globalny
- Moduł AzureADPreview podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Tworzenie roli w Azure Portal
Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji
Zaloguj się do witryny Azure Portal lub w centrum administratora usługi Azure AD.
Wybierzpozycję Role i administratorzy>usługi Azure Active Directory>Nowa rola niestandardowa.
Na karcie Podstawy podaj nazwę i opis roli, a następnie kliknij przycisk Dalej.
Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania podstawowymi właściwościami i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w usłudze Azure Active Directory.
Najpierw wprowadź ciąg "credentials" na pasku wyszukiwania i wybierz
microsoft.directory/applications/credentials/update
uprawnienie.Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz
microsoft.directory/applications/basic/update
uprawnienie, a następnie kliknij przycisk Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.
Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.
Tworzenie roli przy użyciu programu PowerShell
Nawiązywanie połączenia z usługą Azure
Aby nawiązać połączenie z usługą Azure Active Directory, użyj następującego polecenia:
Connect-AzureAD
Tworzenie roli niestandardowej
Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction =
@(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
Przypisywanie roli niestandardowej przy użyciu programu PowerShell
Przypisz rolę przy użyciu poniższego skryptu programu PowerShell:
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Tworzenie roli za pomocą usługi Microsoft interfejs Graph API
Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Treść
{ "description": "Can manage basic aspects of application registrations.", "displayName": "Application Support Administrator", "isEnabled": true, "templateId": "<GUID>", "rolePermissions": [ { "allowedResourceActions": [ "microsoft.directory/applications/basic/update", "microsoft.directory/applications/credentials/update" ] } ] }
Uwaga
Jest
"templateId": "GUID"
to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej jest utworzyć szablon i zdefiniowaćtemplateId
wartość. Wartość można wygenerowaćtemplateId
wcześniej za pomocą polecenia cmdlet(New-Guid).Guid
programu PowerShell .Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę niestandardową.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Treść
{ "principalId":"<GUID OF USER>", "roleDefinitionId":"<GUID OF ROLE DEFINITION>", "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>" }
Przypisywanie roli niestandardowej o zakresie do zasobu
Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie całej organizacji w celu udzielenia uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Azure AD) mogą być również przypisywane w zakresie pojedynczego zasobu Azure AD. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.
Zaloguj się do centrum administracyjnegoAzure Portal lub Azure AD przy użyciu uprawnień dewelopera aplikacji.
Wybierz pozycję Azure Active Directory>Rejestracje aplikacji.
Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje, aby wyświetlić pełną listę rejestracji aplikacji w organizacji Azure AD.
W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.
Wybierz rolę, aby otworzyć stronę Przypisania .
Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszystkie uprawnienia tylko do wybranej rejestracji aplikacji.
Następne kroki
- Możesz się z nami podzielić na forum ról administracyjnych Azure AD.
- Aby uzyskać więcej informacji na temat uprawnień ról, zobacz Azure AD wbudowanych ról.
- Aby uzyskać informacje o domyślnych uprawnieniach użytkownika, zobacz porównanie domyślnych uprawnień gościa i użytkownika członkowskiego.