Microsoft Entra Id'de özel rol oluşturma

Bu makalede, Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini kullanarak Microsoft Entra kaynaklarına erişimi yönetmek için özel bir rolün nasıl oluşturulacağı açıklanır. Bunun yerine Azure kaynaklarına erişimi yönetmek için özel bir rol oluşturmak istiyorsanız bkz. Azure portalını kullanarak Azure özel rolleri oluşturma veya güncelleştirme.

Özel rollerin temelleri için bkz.özel rollere genel bakış. Rol, yalnızca dizin düzeyinde veya uygulama kaydı kaynak alanında atanabilir. Bir Microsoft Entra kuruluşunda oluşturulabilecek en fazla özel rol sayısı hakkında bilgi için bkz. Microsoft Entra hizmet sınırları ve kısıtlamaları.

Önkoşullar

• Microsoft Entra Id P1 veya P2 lisansı
• Ayrıcalıklı Rol Yöneticisi
• Microsoft Graph PowerShell modülünü PowerShell kullanırken
• Microsoft Graph API için Graph gezgini kullanılırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

yönetim merkezi

Özel rol oluşturma

Bu adımlar, uygulama kayıtlarını yönetmek için Microsoft Entra yönetim merkezinde özel bir rolün nasıl oluşturulacağını açıklar.

1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisiolarak oturum açın.

2. Entra Id>Roller ve yöneticiler bölümüne gidin.

3. Yeni özel rol seçin.

   

4. Temel bilgiler sekmesinde rol için bir ad ve açıklama girin.

   Temel izinleri özel bir rolden kopyalayabilirsiniz, ancak yerleşik rolü kopyalayamazsınız.

   

5. İzinler sekmesinde, uygulama kayıtlarının temel özelliklerini ve kimlik bilgisi özelliklerini yönetmek için gereken izinleri seçin. Her iznin ayrıntılı açıklaması için bkz. Microsoft Entra IdUygulama kaydı alt türleri ve izinleri.

   1. İlk olarak, arama çubuğuna "kimlik bilgileri" yazın ve microsoft.directory/applications/credentials/update iznini seçin.

      

   2. Ardından, arama çubuğuna "temel" yazın, microsoft.directory/applications/basic/update iznini seçin ve ardından İleriöğesine tıklayın.

6. Gözden Geçir + Oluştur sekmesinde izinleri gözden geçirin ve Oluştur'useçin.

   Özel rolünüz atanacak kullanılabilir roller listesinde gösterilir.

PowerShell

Oturum Aç

Kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Özel rol oluşturma

Aşağıdaki PowerShell betiğini kullanarak yeni bir rol oluşturun:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Özel rolü güncelleştirme

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Özel rolü silme

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API'si

Özel rol oluşturma

Şu adımları izleyin:

1. Özel rol oluşturmak için Create unifiedRoleDefinition API'sini kullanın.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Beden

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Not

   "templateId": "GUID", gereksinime bağlı olarak gövdeye gönderilen isteğe bağlı bir parametredir. Ortak parametrelerle birden çok farklı özel rol oluşturma gereksiniminiz varsa, bir şablon oluşturmak ve templateId bir değer tanımlamak en iyisidir. templateIdPowerShell cmdlet'ini kullanarak önceden bir (New-Guid).Guid değeri oluşturabilirsiniz.

2. Özel rolü atamak için Create unifiedRoleAssignment API'sini kullanın.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Beden

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

İlgili içerik

• Microsoft Entra rollerini ata
• Microsoft Entra yerleşik roller
• Varsayılan konuk ve üye kullanıcı izinlerinin karşılaştırması