Skapa anpassade roller för att hantera företagsappar i Microsoft Entra-ID
Den här artikeln beskriver hur du skapar en anpassad roll med behörighet att hantera företagsapptilldelningar för användare och grupper i Microsoft Entra-ID. Information om elementen i rolltilldelningar och innebörden av termer som undertyp, behörighet och egenskapsuppsättning finns i översikten över anpassade roller.
Förutsättningar
- Microsoft Entra ID P1- eller P2-licens
- Privilegierad rolladministratör eller global administratör
- AzureADPreview-modulen vid användning av PowerShell
- Administratörsmedgivande när Graph Explorer för Microsoft Graph API används
Mer information finns i Krav för att använda PowerShell eller Graph Explorer.
Rollbehörigheter för företagsappar
Det finns två behörigheter för företagsappar som beskrivs i den här artikeln. Alla exempel använder uppdateringsbehörigheten.
- Om du vill läsa användar- och grupptilldelningarna i omfånget beviljar du behörigheten
microsoft.directory/servicePrincipals/appRoleAssignedTo/read
- Om du vill hantera användar- och grupptilldelningarna i omfånget beviljar du behörigheten
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Om du beviljar uppdateringsbehörigheten kan den tilldelade personen hantera tilldelningar av användare och grupper till företagsappar. Omfånget för användar- och/eller grupptilldelningar kan beviljas för ett enda program eller beviljas för alla program. Om det beviljas på organisationsomfattande nivå kan tilldelningsmottagaren hantera tilldelningar för alla program. Om det görs på programnivå kan tilldelningsmottagaren endast hantera tilldelningar för det angivna programmet.
Du beviljar uppdateringsbehörigheten i två steg:
- Skapa en anpassad roll med behörighet
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
- Ge användare eller grupper behörighet att hantera användar- och grupptilldelningar till företagsappar. Det här är då du kan ange omfånget till organisationsomfattande nivå eller till ett enda program.
Administrationscenter för Microsoft Entra
Skapa en ny anpassad roll
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Kommentar
Anpassade roller skapas och hanteras på organisationsomfattande nivå och är endast tillgängliga från organisationens översiktssida.
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles admins Roles admins ( Identity>Roles & admins ).&>
Välj Ny anpassad roll.
På fliken Grundläggande anger du "Hantera användar- och grupptilldelningar" för namnet på rollen och "Bevilja behörigheter för att hantera användar- och grupptilldelningar" för rollbeskrivningen och väljer sedan Nästa.
På fliken Behörigheter anger du "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" i sökrutan och markerar sedan kryssrutorna bredvid önskade behörigheter och väljer sedan Nästa.
På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.
Tilldela rollen till en användare med hjälp av administrationscentret för Microsoft Entra
Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
Bläddra till Identity Roles admins Roles admins ( Identity>Roles & admins ).&>
Välj rollen Hantera användar- och grupptilldelningar .
Välj Lägg till tilldelning, välj önskad användare och klicka sedan på Välj för att lägga till rolltilldelning till användaren.
Tilldelningstips
Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för alla företagsappar i hela organisationen börjar du från listan roller och administratörer i hela organisationen på sidan Översikt över Microsoft Entra-ID för din organisation.
Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för en specifik företagsapp går du till appen i Microsoft Entra-ID och öppnar i listan Roller och administratörer för appen. Välj den nya anpassade rollen och slutför användar- eller grupptilldelningen. Tilldelningarna kan endast hantera användare och gruppåtkomst för den specifika appen.
Om du vill testa din anpassade rolltilldelning loggar du in som tilldelad och öppnar sidan Användare och grupper för att kontrollera att alternativet Lägg till användare är aktiverat.
PowerShell
Mer information finns i Skapa och tilldela en anpassad roll i Microsoft Entra-ID och Tilldela anpassade roller med resursomfång med hjälp av PowerShell.
Skapa en anpassad roll
Skapa en ny roll med följande PowerShell-skript:
# Basic role information
$description = "Manage user and group assignments"
$displayName = "Can manage user and group assignments for Applications"
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$resourceActions = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermission = @{'resourceActions' = $resourceActions}
$rolePermissions = $rolePermission
# Create new custom admin role
$customRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
Tilldela den anpassade rollen
Tilldela rollen med det här PowerShell-skriptet.
# Get the user and role definition you want to link
$user = Get-AzureADUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"
# Get app registration and construct resource scope for assignment.
$appRegistration = Get-AzureADApplication -Filter "displayName eq 'My Filter Photos'"
$resourceScope = '/' + $appRegistration.objectId
# Create a scoped role assignment
$roleAssignment = New-AzureADMSRoleAssignment -ResourceScope $resourceScope -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
Microsoft Graph API
Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll. Mer information finns i Skapa och tilldela en anpassad roll i Microsoft Entra-ID och Tilldela anpassade administratörsroller med hjälp av Microsoft Graph API.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
{
"description": "Can manage user and group assignments for Applications.",
"displayName": "Manage user and group assignments",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Tilldela den anpassade rollen med hjälp av Microsoft Graph API
Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen. Rolltilldelningen kombinerar ett säkerhetshuvudnamns-ID (som kan vara en användare eller tjänstens huvudnamn), ett rolldefinitions-ID och ett Microsoft Entra-resursomfång. Mer information om elementen i en rolltilldelning finns i översikten över anpassade roller
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}