Tworzenie i przypisywanie roli niestandardowej w usłudze Azure Active Directory

W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Azure Active Directory (Azure AD). Aby zapoznać się z podstawowymi rolami niestandardowymi, zobacz omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.

Role niestandardowe można utworzyć na karcie Role i administratorzy na stronie przeglądu usługi Azure AD.

Wymagania wstępne

  • Licencja usługi Azure AD Premium P1 lub P2
  • Administrator ról uprzywilejowanych lub administrator globalny
  • Moduł AzureADPreview podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące korzystania z programu PowerShell lub Eksploratora programu Graph.

Tworzenie roli w witrynie Azure Portal

Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji

  1. Zaloguj się do witryny Azure Portal lub centrum administracyjnego usługi Azure AD.

  2. Wybierzpozycję Role i administratorzy>usługi Azure Active Directory>Nowa rola niestandardowa.

    Create or edit roles from the Roles and administrators page

  3. Na karcie Podstawy podaj nazwę i opis roli, a następnie kliknij przycisk Dalej.

    provide a name and description for a custom role on the Basics tab

  4. Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania podstawowymi właściwościami i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w usłudze Azure Active Directory.

    1. Najpierw wprowadź "poświadczenia" na pasku wyszukiwania i wybierz microsoft.directory/applications/credentials/update uprawnienie.

      Select the permissions for a custom role on the Permissions tab

    2. Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz microsoft.directory/applications/basic/update uprawnienie, a następnie kliknij przycisk Dalej.

  5. Na karcie Przeglądanie i tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.

Tworzenie roli przy użyciu programu PowerShell

Nawiązywanie połączenia z usługą Azure

Aby nawiązać połączenie z usługą Azure Active Directory, użyj następującego polecenia:

Connect-AzureAD

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Przypisywanie roli niestandardowej przy użyciu programu PowerShell

Przypisz rolę przy użyciu poniższego skryptu programu PowerShell:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Tworzenie roli za pomocą interfejsu API programu Microsoft Graph

  1. Utwórz definicję roli.

    Żądanie HTTP w celu utworzenia niestandardowej definicji roli.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Treść

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Uwaga

    Jest "templateId": "GUID" to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej utworzyć szablon i zdefiniować templateId wartość. Wartość można wygenerować templateId wcześniej przy użyciu polecenia cmdlet (New-Guid).Guidprogramu PowerShell .

  2. Utwórz przypisanie roli.

    Żądanie HTTP w celu utworzenia niestandardowej definicji roli.

    POST

    https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Treść

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Przypisywanie roli niestandardowej o zakresie do zasobu

Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie w całej organizacji w celu udzielania uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre istotne role wbudowane (w zależności od typu zasobu usługi Azure AD) mogą być również przypisywane w zakresie pojedynczego zasobu usługi Azure AD. Umożliwia to użytkownikowi nadanie użytkownikowi uprawnień do aktualizowania poświadczeń i podstawowych właściwości jednej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

  1. Zaloguj się do witryny Azure Portal lub centrum administracyjnego usługi Azure AD przy użyciu uprawnień dla deweloperów aplikacji.

  2. Wybierz pozycjęRejestracje aplikacjiusługi Azure Active Directory>.

  3. Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji usługi Azure AD.

    Select the app registration as a resource scope for a role assignment

  4. W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.

  5. Wybierz rolę, aby otworzyć stronę Przypisania .

  6. Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszystkie uprawnienia dotyczące tylko wybranej rejestracji aplikacji.

Następne kroki