Przypisywanie ról usługi Microsoft Entra w różnych zakresach
W usłudze Microsoft Entra ID zazwyczaj przypisujesz role entra firmy Microsoft, aby były stosowane do całej dzierżawy. Można jednak również przypisać role firmy Microsoft Entra dla różnych zasobów, takich jak jednostki administracyjne lub rejestracje aplikacji. Można na przykład przypisać rolę Administracja istratora pomocy technicznej, tak aby dotyczyła tylko określonej jednostki administracyjnej, a nie całej dzierżawy. Zasoby, do których ma zastosowanie przypisanie roli, są również nazywane zakresem. W tym artykule opisano sposób przypisywania ról firmy Microsoft w zakresie dzierżawy, jednostki administracyjnej i rejestracji aplikacji. Aby uzyskać więcej informacji na temat zakresu, zobacz Omówienie kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.
Wymagania wstępne
- Administrator ról uprzywilejowanych lub administrator globalny.
- Zestaw MICROSOFT Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell.
- Administracja zgody podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Przypisywanie ról w zakresie do dzierżawy
W tej sekcji opisano sposób przypisywania ról w zakresie dzierżawy.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz rolę, aby wyświetlić jej przypisania. Aby ułatwić znalezienie potrzebnej roli, użyj opcji Dodaj filtry , aby filtrować role.
Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników, którzy mają zostać przypisani do tej roli.
Wybierz pozycję Dodaj , aby przypisać rolę.
PowerShell
Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu programu PowerShell.
Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Install-Module Microsoft.Graph -Scope CurrentUserW oknie programu PowerShell użyj Połączenie-MgGraph, aby zalogować się do dzierżawy.
Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Użyj polecenia Get-MgUser , aby pobrać użytkownika.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"Ustaw dzierżawę jako zakres przypisania roli.
$directoryScope = '/'Przypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Interfejsu API programu Microsoft Graph
Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.
Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/" }
Przypisywanie ról o zakresie do jednostki administracyjnej
W tej sekcji opisano sposób przypisywania ról w zakresie jednostki administracyjnej.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy> Administracja jednostki.
Wybierz jednostkę administracyjną.
Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania za pośrednictwem jednostki administracyjnej.
Wybierz żądaną rolę.
Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupę, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj , aby przypisać rolę o określonym zakresie w jednostce administracyjnej.
Uwaga
W tym miejscu nie będzie widoczna cała lista wbudowanych lub niestandardowych ról firmy Microsoft. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane z obiektami obsługiwanymi w jednostce administracyjnej. Aby wyświetlić listę obiektów obsługiwanych w ramach jednostki administracyjnej, zobacz Administracja istrative units in Microsoft Entra ID (Identyfikator entra firmy Microsoft).
PowerShell
Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra w zakresie jednostki administracyjnej przy użyciu programu PowerShell.
Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Install-Module Microsoft.Graph -Scope CurrentUserW oknie programu PowerShell użyj Połączenie-MgGraph, aby zalogować się do dzierżawy.
Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Użyj polecenia Get-MgUser , aby pobrać użytkownika.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'User Administrator'"Użyj polecenia Get-MgDirectory Administracja istrativeUnit, aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.
$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'" $directoryScope = '/administrativeUnits/' + $adminUnit.IdPrzypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Interfejsu API programu Microsoft Graph
Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie jednostki administracyjnej przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.
Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'Użyj interfejsu API List administrativeUnits , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>" }
Uwaga
Tutaj directoryScopeId jest określony jako /administrativeUnits/foo, zamiast /foo. Jest on zgodnie z projektem. Zakres /administrativeUnits/foo oznacza, że podmiot zabezpieczeń może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej roli), a nie samej jednostki administracyjnej. Zakres /foo oznacza, że podmiot zabezpieczeń może zarządzać samym obiektem Microsoft Entra. W kolejnej sekcji zobaczysz, że zakres to /foo , ponieważ rola o zakresie rejestracji aplikacji przyznaje uprawnienie do zarządzania samym obiektem.
Przypisywanie ról o zakresie do rejestracji aplikacji
W tej sekcji opisano sposób przypisywania ról w zakresie rejestracji aplikacji.
Centrum administracyjne Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz aplikację. Aby znaleźć żądaną aplikację, możesz użyć pola wyszukiwania.
Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania w ramach rejestracji aplikacji.
Wybierz żądaną rolę.
Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupę, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj , aby przypisać rolę w zakresie rejestracji aplikacji.
Uwaga
W tym miejscu nie będzie widoczna cała lista wbudowanych lub niestandardowych ról firmy Microsoft. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane tylko z zarządzaniem rejestracjami aplikacji.
PowerShell
Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra w zakresie aplikacji przy użyciu programu PowerShell.
Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Install-Module Microsoft.Graph -Scope CurrentUserW oknie programu PowerShell użyj Połączenie-MgGraph, aby zalogować się do dzierżawy.
Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"Użyj polecenia Get-MgUser , aby pobrać użytkownika.
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition ` -Filter "displayName eq 'Application Administrator'"Użyj polecenia Get-MgApplication , aby uzyskać rejestrację aplikacji, do której ma być ograniczone przypisanie roli.
$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'" $directoryScope = '/' + $appRegistration.IdPrzypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment ` -DirectoryScopeId $directoryScope -PrincipalId $user.Id ` -RoleDefinitionId $roleDefinition.Id
Interfejsu API programu Microsoft Graph
Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie aplikacji przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.
Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.
GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'Użyj interfejsu API listy aplikacji , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "principalId": "<provide objectId of the user obtained above>", "roleDefinitionId": "<provide templateId of the role obtained above>", "directoryScopeId": "/<provide objectId of the app registration obtained above>" }
Uwaga
Tutaj katalogScopeId jest określony jako /foo, w przeciwieństwie do powyższej sekcji. Jest on zgodnie z projektem. Zakres /foo oznacza, że podmiot zabezpieczeń może zarządzać tym obiektem Microsoft Entra. Zakres /administrativeUnits/foo oznacza, że podmiot zabezpieczeń może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej roli), a nie samej jednostki administracyjnej.