Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft

W tym artykule opisano sposób tworzenia nowych ról niestandardowych w usłudze Microsoft Entra ID. Aby zapoznać się z podstawowymi rolami niestandardowymi, zobacz omówienie ról niestandardowych. Rolę można przypisać tylko w zakresie na poziomie katalogu lub tylko w zakresie zasobu rejestracji aplikacji.

Role niestandardowe można tworzyć na stronie Role i administratorzy centrum administracyjnego firmy Microsoft Entra.

Wymagania wstępne

  • Licencja Microsoft Entra ID P1 lub P2
  • Administrator ról uprzywilejowanych
  • Moduł Microsoft.Graph podczas korzystania z programu PowerShell
  • Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Tworzenie roli w centrum administracyjnym firmy Microsoft Entra

Tworzenie nowej roli niestandardowej w celu udzielenia dostępu do zarządzania rejestracjami aplikacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

  3. Wybierz pozycję Nowa rola niestandardowa.

    Tworzenie lub edytowanie ról na stronie Role i administratorzy

  4. Na karcie Podstawy podaj nazwę i opis roli.

    Uprawnienia punktu odniesienia można sklonować z roli niestandardowej, ale nie można sklonować wbudowanej roli.

    podaj nazwę i opis roli niestandardowej na karcie Podstawy

  5. Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania właściwościami podstawowymi i właściwościami poświadczeń rejestracji aplikacji. Aby uzyskać szczegółowy opis poszczególnych uprawnień, zobacz Podtypy i uprawnienia rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

    1. Najpierw wprowadź "poświadczenia" na pasku wyszukiwania i wybierz microsoft.directory/applications/credentials/update uprawnienie.

      Wybierz uprawnienia roli niestandardowej na karcie Uprawnienia

    2. Następnie wprowadź ciąg "basic" na pasku wyszukiwania, wybierz microsoft.directory/applications/basic/update uprawnienie, a następnie kliknij przycisk Dalej.

  6. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

    Rola niestandardowa zostanie wyświetlona na liście dostępnych ról do przypisania.

Tworzenie roli przy użyciu programu PowerShell

Zaloguj

Użyj polecenia Connect-MgGraph, aby zalogować się do dzierżawy.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Tworzenie roli za pomocą interfejsu API programu Microsoft Graph

Wykonaj te kroki:

  1. Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Treść

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Uwaga

    Jest "templateId": "GUID" to opcjonalny parametr, który jest wysyłany w treści w zależności od wymagania. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej utworzyć szablon i zdefiniować templateId wartość. Wartość można wygenerować templateId wcześniej za pomocą polecenia cmdlet (New-Guid).Guidprogramu PowerShell .

  2. Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Treść

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Przypisywanie roli niestandardowej o zakresie do zasobu

Podobnie jak role wbudowane, role niestandardowe są domyślnie przypisywane w domyślnym zakresie w całej organizacji w celu udzielenia uprawnień dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  3. Wybierz rejestrację aplikacji, do której udzielasz dostępu do zarządzania. Może być konieczne wybranie pozycji Wszystkie aplikacje , aby wyświetlić pełną listę rejestracji aplikacji w organizacji firmy Microsoft Entra.

    Wybierz rejestrację aplikacji jako zakres zasobów dla przypisania roli

  4. W rejestracji aplikacji wybierz pozycję Role i administratorzy. Jeśli jeszcze go nie utworzono, instrukcje znajdują się w poprzedniej procedurze.

  5. Wybierz rolę, aby otworzyć stronę Przypisania .

  6. Wybierz pozycję Dodaj przypisanie , aby dodać użytkownika. Użytkownik otrzyma wszelkie uprawnienia tylko do wybranej rejestracji aplikacji.