Tilldela Azure AD roller i olika omfång

  • Artikel
  • 6 minuter för att läsa

I Azure Active Directory (Azure AD) tilldelar du vanligtvis Azure AD roller så att de gäller för hela klientorganisationen. Du kan dock även tilldela Azure AD roller för olika resurser, till exempel administrativa enheter eller programregistreringar. Du kan till exempel tilldela rollen Supportadministratör så att den bara gäller för en viss administrativ enhet och inte hela klientorganisationen. De resurser som en rolltilldelning gäller för anropar också omfånget. I den här artikeln beskrivs hur du tilldelar Azure AD roller i klientorganisations-, administrations- och programregistreringsomfång. Mer information om omfång finns i Översikt över RBAC i Azure AD.

Förutsättningar

  • Administratör för privilegierad roll eller global administratör.
  • AzureADPreview-modul när du använder PowerShell.
  • Admin medgivande när du använder Graph Explorer för Microsoft Graph API.

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Tilldela roller som är begränsade till klientorganisationen

I det här avsnittet beskrivs hur du tilldelar roller i klientomfånget.

Azure Portal

  1. Logga in på Azure-portalen.

  2. Välj Azure Active Directory-roller>och -administratörer för att se listan över alla tillgängliga roller.

    Sidan Roller och administratörer i Azure Active Directory.

  3. Välj en roll för att se dess tilldelningar. Använd Lägg till filter för att filtrera rollerna för att hitta den roll du behöver.

  4. Välj Lägg till tilldelningar och välj sedan de användare som du vill tilldela till den här rollen.

    Fönstret Lägg till tilldelningar för den valda rollen.

  5. Välj Lägg till för att tilldela rollen.

PowerShell

Följ de här stegen för att tilldela Azure AD roller med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster och använd Import-Module för att importera AzureADPreview-modulen. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Import-Module -Name AzureADPreview -Force

  2. I ett PowerShell-fönster använder du Connect-AzureAD för att logga in på din klientorganisation.

    Connect-AzureAD

  3. Använd Get-AzureADUser för att hämta användaren.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'alice@contoso.com'"

  4. Använd Get-AzureADMSRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"

  5. Ange klientorganisationen som omfång för rolltilldelning.

    $directoryScope = '/'

  6. Använd New-AzureADMSRoleAssignment för att tilldela rollen.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $directoryScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

  3. Använd LIST unifiedRoleDefinitions API för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'

  4. Använd CREATE unifiedRoleAssignment API för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<provide objectId of the user obtained above>",
    "roleDefinitionId": "<provide templateId of the role obtained above>",
    "directoryScopeId": "/"
}

Tilldela roller som är begränsade till en administrativ enhet

I det här avsnittet beskrivs hur du tilldelar roller i ett administrativt enhetsomfång .

Azure Portal

  1. Logga in på Azure-portalen.

  2. Välj Administrativa Azure Active Directory-enheter > för att se listan över alla administrativa enheter.

  3. Välj en administrativ enhet.

    Administrativa enheter i Azure Active Directory.

  4. Välj Roller och administratörer på den vänstra navigeringsmenyn för att se listan över alla roller som kan tilldelas via en administrativ enhet.

    Menyn Roller och administratörer under administrativa enheter i Azure Active Directory.

  5. Välj önskad roll.

  6. Välj Lägg till tilldelningar och välj sedan de användare eller den grupp som du vill tilldela rollen till.

  7. Välj Lägg till för att tilldela rollen som är begränsad till den administrativa enheten.

Anteckning

Du ser inte hela listan över Azure AD inbyggda eller anpassade roller här. Detta är förväntat. Vi visar de roller som har behörigheter relaterade till de objekt som stöds i den administrativa enheten. I den här dokumentationen finns en lista över objekt som stöds i en administrativ enhet.

PowerShell

Följ de här stegen för att tilldela Azure AD roller i omfånget för administrativa enheter med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster och använd Import-Module för att importera AzureADPreview-modulen. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Import-Module -Name AzureADPreview -Force

  2. I ett PowerShell-fönster använder du Connect-AzureAD för att logga in på din klientorganisation.

    Connect-AzureAD

  3. Använd Get-AzureADUser för att hämta användaren.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'alice@contoso.com'"

  4. Använd Get-AzureADMSRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'User Administrator'"

  5. Använd Get-AzureADMSAdministrativeUnit för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    $adminUnit = Get-AzureADMSAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id

  6. Använd New-AzureADMSRoleAssignment för att tilldela rollen.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $directoryScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll i omfånget för administrativa enheter med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

  3. Använd LIST unifiedRoleDefinitions API för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'

  4. Använd API:et List administrativeUnits för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'

  5. Använd CREATE unifiedRoleAssignment API för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<provide objectId of the user obtained above>",
    "roleDefinitionId": "<provide templateId of the role obtained above>",
    "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
}

Anteckning

Här anges directoryScopeId som /administrativeUnits/foo, i stället för /foo. Det är avsiktligt. Omfånget /administrativeUnits/foo innebär att huvudkontot kan hantera medlemmarna i den administrativa enheten (baserat på den roll som hon har tilldelats), inte själva den administrativa enheten. Omfånget för /foo innebär att huvudkontot kan hantera Azure AD själva objektet. I följande avsnitt ser du att omfånget är /foo eftersom en roll som är begränsad till en appregistrering ger behörighet att hantera själva objektet.

Tilldela roller som är begränsade till en appregistrering

I det här avsnittet beskrivs hur du tilldelar roller i ett programregistreringsomfång.

Azure Portal

  1. Logga in på Azure-portalen.

  2. Välj Azure Active Directory > Appregistreringar för att se listan över alla appregistreringar.

  3. Välj ett program. Du kan använda sökrutan för att hitta önskad app.

    Appregistreringar i Azure Active Directory.

  4. Välj Roller och administratörer på den vänstra navigeringsmenyn för att se listan över alla roller som är tillgängliga för tilldelning över appregistreringen.

    Roller för appregistreringar i Azure Active Directory.

  5. Välj önskad roll.

  6. Välj Lägg till tilldelningar och välj sedan de användare eller den grupp som du vill tilldela rollen till.

    Lägg till rolltilldelning som är begränsad till en appregistrering i Azure Active Directory.

  7. Välj Lägg till för att tilldela rollen som omfattas av appregistreringen.

    Rolltilldelningen har lagts till i en appregistrering i Azure Active Directory.

    Roll tilldelad till användaren som är begränsad till en appregistrering i Azure Active Directory.

Anteckning

Du ser inte hela listan över Azure AD inbyggda eller anpassade roller här. Detta är förväntat. Vi visar de roller som har behörigheter som endast gäller hantering av appregistreringar.

PowerShell

Följ dessa steg för att tilldela Azure AD roller i programomfånget med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster och använd Import-Module för att importera AzureADPreview-modulen. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Import-Module -Name AzureADPreview -Force

  2. I ett PowerShell-fönster använder du Connect-AzureAD för att logga in på din klientorganisation.

    Connect-AzureAD

  3. Använd Get-AzureADUser för att hämta användaren.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'alice@contoso.com'"

  4. Använd Get-AzureADMSRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Application Administrator'"

  5. Använd Get-AzureADApplication för att hämta den appregistrering som du vill att rolltilldelningen ska begränsas till.

    $appRegistration = Get-AzureADApplication -Filter "displayName eq 'f/128 Filter Photos'"
$directoryScope = '/' + $appRegistration.objectId

  6. Använd New-AzureADMSRoleAssignment för att tilldela rollen.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $directoryScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll i programomfånget med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

  3. Använd API:et List unifiedRoleDefinitions för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'

  4. Använd API:et Lista program för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'

  5. Använd API:et Create unifiedRoleAssignment för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<provide objectId of the user obtained above>",
    "roleDefinitionId": "<provide templateId of the role obtained above>",
    "directoryScopeId": "/<provide objectId of the app registration obtained above>"
}

Anteckning

Här anges directoryScopeId som /foo, till skillnad från avsnittet ovan. Det är avsiktligt. Omfånget för /foo innebär att huvudkontot kan hantera det Azure AD objektet. Omfånget /administrativeUnits/foo innebär att huvudkontot kan hantera medlemmarna i den administrativa enheten (baserat på den roll som hon har tilldelats), inte själva den administrativa enheten.

Nästa steg