Назначение ролей Microsoft Entra пользователям
Чтобы предоставить пользователям доступ к идентификатору Microsoft Entra, назначьте роли Microsoft Entra. Роль — это коллекция разрешений. В этой статье описывается назначение ролей Microsoft Entra с помощью Центра администрирования Microsoft Entra и PowerShell.
Необходимые компоненты
- Глобальный администратор или администратор привилегированных ролей. Сведения о том, кто является Администратор привилегированной ролью или глобальным Администратор istrator, см. в разделе "Список назначений ролей Microsoft Entra"
- Лицензия Microsoft Entra ID P2 при использовании управление привилегированными пользователями (PIM)
- Модуль Microsoft Graph PowerShell при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью Центра администрирования Microsoft Entra. Ваш интерфейс будет отличаться в зависимости от того, включена ли управление привилегированными пользователями (PIM) Microsoft Entra.
Назначение роли
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.
Выберите имя роли, чтобы открыть роль. Не добавляйте знак проверка рядом с ролью.
Щелкните элемент Добавить назначения и выберите пользователей, которых нужно назначить этой роли.
Если на следующем рисунке вы видите что-то другое, возможно, вы включили PIM. См. следующий раздел.
Примечание.
Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?
Щелкните команду Добавить, чтобы назначить роль.
Назначение роль с помощью PIM
Если у вас включена управление привилегированными пользователями (PIM) Microsoft Entra, у вас есть дополнительные возможности назначения ролей. Например, вы можете предоставить пользователю право на роль или установить продолжительность действия этого права. Если PIM включен, существует два способа назначения ролей с помощью Центра администрирования Microsoft Entra. Можно использовать страницу "Роли и администраторы" или интерфейс PIM. В любом случае используется одна и та же служба PIM.
Чтобы назначить роли с помощью страницы Роли и администраторы, выполните следующие действия. Если вы хотите назначить роли с помощью управление привилегированными пользователями, см. раздел "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.
Выберите имя роли, чтобы открыть роль и просмотреть соответствующие, активные и просроченные назначения ролей. Не добавляйте знак проверка рядом с ролью.
Щелкните Добавить назначения.
Щелкните элемент Невыбранные участники и выберите пользователей, которым нужно назначить эту роль.
Выберите Далее.
На вкладке Параметр выберите, хотите ли вы назначить для этой роли назначения: допустимая или активная.
Назначение "допустимая" означает, что пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль. Назначение "активная" означает, что пользователю не нужно предпринимать никаких действий для использования этой роли. Дополнительные сведения о значениях этих параметров приведены в разделе Терминология PIM.
Используйте оставшиеся параметры, чтобы задать продолжительность назначения.
Выберите Назначить, чтобы назначить роль.
PowerShell
Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью PowerShell.
Настройка
Откройте окно PowerShell и используйте import-Module для импорта модуля Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Import-Module -Name Microsoft.Graph.Identity.Governance -ForceВ окне PowerShell используйте Подключение-MgGraph для входа в клиент.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"Используйте Get-MgUser , чтобы получить пользователя, которому нужно назначить роль.
$user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
Назначение роли
Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"Чтобы назначить роль, используйте New-MgRoleManagementDirectoryRoleAssignment .
$roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Назначение роли в качестве допустимой с помощью PIM
Если PIM включена, у вас есть дополнительные возможности, такие как предоставление пользователю права на назначение роли или определение времени начала и окончания для назначения роли. В этих возможностях используется другой набор команд PowerShell. Дополнительные сведения об использовании PowerShell и PIM см. в разделе PowerShell для ролей Microsoft Entra в управление привилегированными пользователями.
Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"Используйте следующую команду, чтобы создать хэш-таблицу для хранения всех необходимых атрибутов, необходимых для назначения роли пользователю. Идентификатор участника будет идентификатором пользователя, которому требуется назначить роль. В этом примере назначение будет допустимо только в течение 10 часов.
$params = @{ "PrincipalId" = "053a6a7e-4a75-48bc-8324-d70f50ec0d91" "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe" "Justification" = "Add eligible assignment" "DirectoryScopeId" = "/" "Action" = "AdminAssign" "ScheduleInfo" = @{ "StartDateTime" = Get-Date "Expiration" = @{ "Type" = "AfterDuration" "Duration" = "PT10H" } } }Используйте New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest , чтобы назначить роль соответствующим образом. После назначения роли она будет отражена в Центре администрирования Microsoft Entra в разделе "Управление удостоверениями> управление привилегированными пользователями> ролейMicrosoft>Entra роли "Назначения подходящих> назначений".
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
API Microsoft Graph
Выполните эти инструкции, чтобы назначить роль с помощью API Microsoft Graph.
Назначение роли
В этом примере субъекту безопасности с идентификатором objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d назначается роль администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe) в области клиента. Чтобы просмотреть список неизменяемых идентификаторов шаблонов ролей всех встроенных ролей, см. в статье о встроенных ролях Microsoft Entra.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"directoryScopeId": "/"
}
Назначение роль с помощью PIM
Назначение ролей с привязкой ко времени
В этом примере субъекту безопасности с идентификатором objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d назначается ограниченное по времени на 180 дней роль как "допустимая" для администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe).
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "adminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "afterDuration",
"duration": "PT180D"
}
}
}
Назначение постоянно доступных ролей
В следующем примере субъекту безопасности назначается постоянное назначение роли как "допустимая" для администратора выставления счетов.
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json
{
"action": "adminAssign",
"justification": "for managing admin tasks",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"scheduleInfo": {
"startDateTime": "2021-07-15T19:15:08.941Z",
"expiration": {
"type": "noExpiration"
}
}
}
Активация назначения роли
Чтобы активировать назначение ролей, используйте API Create roleAssignmentScheduleRequest.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json
{
"action": "selfActivate",
"justification": "activating role assignment for admin privileges",
"roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
"directoryScopeId": "/",
"principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}
Дополнительные сведения об управлении ролями Microsoft Entra с помощью API PIM в Microsoft Graph см. в обзоре управления ролями с помощью API управления привилегированными пользователями (PIM).