Tworzenie i przypisywanie roli niestandardowej w usłudze Azure Active Directory

W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Azure Active Directory (Azure AD). Podstawowe informacje na temat ról niestandardowych można znaleźć w temacie Omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.

Role niestandardowe można tworzyć na karcie Role i administratorzy na stronie przeglądu Azure AD.

Wymagania wstępne

  • Licencja usługi Azure AD — wersja Premium P1 lub P2
  • Administrator ról uprzywilejowanych lub administrator globalny
  • Moduł AzureADPreview podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie roli w Azure Portal

Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji

  1. Zaloguj się do witryny Azure Portal lub w centrum administratora usługi Azure AD.

  2. Wybierzpozycję Role i administratorzy>usługi Azure Active Directory>Nowa rola niestandardowa.

    Tworzenie lub edytowanie ról na stronie Role i administratorzy

  3. Na karcie Podstawy podaj nazwę i opis roli, a następnie kliknij przycisk Dalej.

    podaj nazwę i opis roli niestandardowej na karcie Podstawy

  4. Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania podstawowymi właściwościami i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w usłudze Azure Active Directory.

    1. Najpierw wprowadź ciąg "credentials" na pasku wyszukiwania i wybierz microsoft.directory/applications/credentials/update uprawnienie.

      Wybierz uprawnienia roli niestandardowej na karcie Uprawnienia

    2. Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz microsoft.directory/applications/basic/update uprawnienie, a następnie kliknij przycisk Dalej.

  5. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.

Tworzenie roli przy użyciu programu PowerShell

Nawiązywanie połączenia z usługą Azure

Aby nawiązać połączenie z usługą Azure Active Directory, użyj następującego polecenia:

Connect-AzureAD

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
 
# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
 
# Create new custom admin role
$customAdmin = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true

Przypisywanie roli niestandardowej przy użyciu programu PowerShell

Przypisz rolę przy użyciu poniższego skryptu programu PowerShell:

# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'cburl@f128.info'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Tworzenie roli za pomocą usługi Microsoft interfejs Graph API

  1. Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Treść

    {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
    }
    

    Uwaga

    Jest "templateId": "GUID" to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej jest utworzyć szablon i zdefiniować templateId wartość. Wartość można wygenerować templateId wcześniej za pomocą polecenia cmdlet (New-Guid).Guidprogramu PowerShell .

  2. Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Treść

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Przypisywanie roli niestandardowej o zakresie do zasobu

Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie całej organizacji w celu udzielenia uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Azure AD) mogą być również przypisywane w zakresie pojedynczego zasobu Azure AD. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

  1. Zaloguj się do centrum administracyjnegoAzure Portal lub Azure AD przy użyciu uprawnień dewelopera aplikacji.

  2. Wybierz pozycję Azure Active Directory>Rejestracje aplikacji.

  3. Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje, aby wyświetlić pełną listę rejestracji aplikacji w organizacji Azure AD.

    Wybierz rejestrację aplikacji jako zakres zasobów dla przypisania roli

  4. W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.

  5. Wybierz rolę, aby otworzyć stronę Przypisania .

  6. Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszystkie uprawnienia tylko do wybranej rejestracji aplikacji.

Następne kroki