Bu makalede, Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini kullanarak Microsoft Entra kaynaklarına erişimi yönetmek için özel bir rolün nasıl oluşturulacağı açıklanır. Bunun yerine Azure kaynaklarına erişimi yönetmek için özel bir rol oluşturmak istiyorsanız bkz. Azure portalını kullanarak Azure özel rolleri oluşturma veya güncelleştirme.
Özel rollerin temelleri için bkz.özel rollere genel bakış. Rol, yalnızca dizin düzeyinde veya uygulama kaydı kaynak alanında atanabilir. Bir Microsoft Entra kuruluşunda oluşturulabilecek en fazla özel rol sayısı hakkında bilgi için bkz. Microsoft Entra hizmet sınırları ve kısıtlamaları.
Önkoşullar
- Microsoft Entra Id P1 veya P2 lisansı
- Ayrıcalıklı Rol Yöneticisi
- Microsoft Graph PowerShell modülünü PowerShell kullanırken
- Microsoft Graph API için Graph gezgini kullanılırken yönetici onayı
Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.
Özel rol oluşturma
Bu adımlar, uygulama kayıtlarını yönetmek için Microsoft Entra yönetim merkezinde özel bir rolün nasıl oluşturulacağını açıklar.
Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisiolarak oturum açın.
Entra Id>Roller ve yöneticiler bölümüne gidin.
Yeni özel rol seçin.
Temel bilgiler sekmesinde rol için bir ad ve açıklama girin.
Temel izinleri özel bir rolden kopyalayabilirsiniz, ancak yerleşik rolü kopyalayamazsınız.
İzinler sekmesinde, uygulama kayıtlarının temel özelliklerini ve kimlik bilgisi özelliklerini yönetmek için gereken izinleri seçin. Her iznin ayrıntılı açıklaması için bkz. Microsoft Entra IdUygulama kaydı alt türleri ve izinleri.
İlk olarak, arama çubuğuna "kimlik bilgileri" yazın ve microsoft.directory/applications/credentials/update
iznini seçin.
Ardından, arama çubuğuna "temel" yazın, microsoft.directory/applications/basic/update
iznini seçin ve ardından İleriöğesine tıklayın.
Gözden Geçir + Oluştur sekmesinde izinleri gözden geçirin ve Oluştur'useçin.
Özel rolünüz atanacak kullanılabilir roller listesinde gösterilir.
Oturum Aç
Kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Özel rol oluşturma
Aşağıdaki PowerShell betiğini kullanarak yeni bir rol oluşturun:
# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
# Set of permissions to grant
$rolePermissions = @{
"allowedResourceActions" = @(
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
)
}
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
-DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true
Özel rolü güncelleştirme
# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
-DisplayName "Updated DisplayName"
Özel rolü silme
# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f
Özel rol oluşturma
Şu adımları izleyin:
Özel rol oluşturmak için Create unifiedRoleDefinition API'sini kullanın.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
Beden
{
"description": "Can manage basic aspects of application registrations.",
"displayName": "Application Support Administrator",
"isEnabled": true,
"templateId": "<GUID>",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/basic/update",
"microsoft.directory/applications/credentials/update"
]
}
]
}
Not
"templateId": "GUID"
, gereksinime bağlı olarak gövdeye gönderilen isteğe bağlı bir parametredir. Ortak parametrelerle birden çok farklı özel rol oluşturma gereksiniminiz varsa, bir şablon oluşturmak ve templateId
bir değer tanımlamak en iyisidir.
templateId
PowerShell cmdlet'ini kullanarak önceden bir (New-Guid).Guid
değeri oluşturabilirsiniz.
Özel rolü atamak için Create unifiedRoleAssignment API'sini kullanın.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Beden
{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}
İlgili içerik