Microsoft Entra rollerini atama

Bu makalede, Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini kullanarak kullanıcılara ve gruplara Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır. Ayrıca kiracı, uygulama kaydı ve yönetim birimi kapsamları gibi farklı kapsamlarda rollerin nasıl atandığı da açıklanır.

Kullanıcıya hem doğrudan hem de dolaylı rol atamaları atayabilirsiniz. Bir kullanıcıya bir grup üyeliği tarafından rol atanırsa, rol atamasını eklemek için kullanıcıyı gruba ekleyin. Daha fazla bilgi için bkz. rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma.

Microsoft Entra Id'de roller genellikle kiracının tamamına uygulanacak şekilde atanır. Ancak, uygulama kayıtları veya yönetim birimleri gibi farklı kaynaklar için Microsoft Entra rollerini de atayabilirsiniz. Örneğin, Yardım Masası Yöneticisi rolünü atayarak kiracının tamamına değil yalnızca belirli bir yönetim birimine uygulanabilmesini sağlayabilirsiniz. Rol atamasının uygulandığı kaynaklara kapsam da denir. Rol atamasının kapsamını kısıtlamak, yerleşik ve özel roller için desteklenir. Kapsam hakkında daha fazla bilgi için bkz. Microsoft Entra Id'de rol tabanlı erişim denetimine (RBAC) genel bakış.

PIM'deki Microsoft Entra rolleri

Microsoft Entra Id P2 lisansınız ve Privileged Identity Management (PIM) lisansınız varsa, rol atarken kullanıcıyı rol ataması için uygun hale getirme veya rol ataması için başlangıç ve bitiş saatini tanımlama gibi ek özelliklere sahip olursunuz. PIM'de Microsoft Entra rolleri atama hakkında bilgi için şu makalelere bakın:

Yöntem	Bilgi
Microsoft Entra yönetim merkezi	Privileged Identity Management'ta Microsoft Entra rolleri atama
Microsoft Graph PowerShell	Eğitici: Microsoft Graph PowerShell kullanarak Privileged Identity Management'ta Microsoft Entra rollerini atama
Microsoft Graph API'si	PIM API'lerini kullanarak Microsoft Entra rol atamalarını yönetme Privileged Identity Management'ta Microsoft Entra rolleri atama

Önkoşullar

• Ayrıcalıklı Rol Yöneticisi
• PowerShell kullanırken Microsoft Graph PowerShell modülü
• Microsoft Graph API için Graph Gezgini'ni kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Kiracı kapsamı dahilinde rol atama

Bu bölümde kiracı düzeyinde rollerin nasıl atanacağı açıklanmaktadır.

Yönetim merkezi

1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

2. Entra Id>Roller ve yöneticiler bölümüne gidin.

   

3. Rolü açmak için bir rol adı seçin. Rolün yanına onay işareti eklemeyin.

   Fareyle üzerine gelindiğinde rol adının göründüğü Roller ve yöneticiler sayfasının ekran görüntüsü.

4. atama ekle seçin ve ardından bu role atamak istediğiniz kullanıcıları veya grupları seçin.

   Yalnızca rol atanabilir gruplar görüntülenir. Bir grup listelenmiyorsa rol atanabilir bir grup oluşturmanız gerekir. Daha fazla bilgi için bkz. Microsoft Entra Id'de rol atanabilir grup oluşturma.

   Deneyiminiz aşağıdaki ekran görüntüsünden farklıysa Microsoft Entra ID P2 ve PIM'iniz olabilir. Daha fazla bilgi için bkz. Privileged Identity Management'ta Microsoft Entra rollerini atama.

   

5. Rolü atamak için ekle'yi seçin.

PowerShell

PowerShell kullanarak Microsoft Entra rollerini atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse, Microsoft Graph PowerShell'i yüklemek için Install-Module kullanın. Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde Connect-MgGraph kullanarak kiracınızda oturum açın.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Rol atanabilir grubu almak için Get-MgGroup kullanın.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   Tüm yerleşik rollerin rol tanımı kimliklerinin listesini görmek için bkz. Microsoft Entra yerleşik rolleri.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Rol atamasının kapsamı olarak kiracıyı belirleyin.

   $directoryScope = '/'
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Bir rol atamanın başka bir yolu aşağıdadır.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API'si

Graph Explorer'da Microsoft Graph API'sini kullanarak rol atamak için bu yönergeleri izleyin.

1. Grafik Gezgini'nde oturum açın.

2. Kullanıcıyı almak için Liste kullanıcıları API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Rol atanabilir grubu almak için Liste grupları API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Atamak istediğiniz rolü almak için List unifiedRoleDefinitions API'sini kullanın.

   Tüm yerleşik rollerin rol tanımı kimliklerinin listesini görmek için bkz. Microsoft Entra yerleşik rolleri.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Rolü atamak için UnifiedRoleAssignment API'sini oluşturun.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Sorumlu veya rol tanımı yoksa yanıt bulunamaz.

   Yanıt

   HTTP/1.1 404 Not Found
   

Uygulama kayıt kapsamıyla rol atama

Kuruluşunuzdaki tüm uygulama kayıtları üzerinde erişim izinleri sağlamak için varsayılan olarak kiracı düzeyinde atanmış yerleşik roller ve özel roller vardır. Ayrıca, özel roller ve bazı ilgili yerleşik roller (Microsoft Entra kaynağının türüne bağlı olarak) tek bir Microsoft Entra kaynağı kapsamında da atanabilir. Bu, kullanıcıya ikinci bir özel rol oluşturmak zorunda kalmadan tek bir uygulamanın kimlik bilgilerini ve temel özelliklerini güncelleştirme izni vermenizi sağlar.

Bu bölümde, uygulama kayıt kapsamında rollerin nasıl atandığı açıklanmaktadır.

Yönetim merkezi

1. Microsoft Entra yönetim merkezinde en az Bir Uygulama Geliştiricisi olarak oturum açın.

2. Entra Id>Uygulama Kayıtları'na gidin.

3. Bir uygulama seçin. İstediğiniz uygulamayı bulmak için arama kutusunu kullanabilirsiniz.

   Kiracınızdaki uygulama kayıtlarının tam listesini görmek için tüm uygulamalar seçmeniz gerekebilir.

   

4. Uygulama kaydı üzerinden atanabilecek tüm rollerin listesini görmek için sol gezinti menüsünden Roller ve yöneticiler'i seçin.

   

5. İstediğiniz rolü seçin.

   Bahşiş

   Microsoft Entra yerleşik veya özel rolleri listesinin tamamını burada görmezsiniz. Bu beklenen bir durumdur. Yalnızca uygulama kayıtlarını yönetmeyle ilgili izinlere sahip rolleri gösteririz.

6. Atama ekle'yi seçin ve ardından bu rolü atamak istediğiniz kullanıcıları veya grupları seçin.

   

7. Uygulama kaydı kapsamındaki rolü atamak için Ekle'yi seçin.

PowerShell

PowerShell kullanarak uygulama kapsamında Microsoft Entra rolleri atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse, Microsoft Graph PowerShell'i yüklemek için Install-Module kullanın. Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde Connect-MgGraph kullanarak kiracınızda oturum açın.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Rolü kullanıcı yerine hizmet sorumlusuna atamak için Get-MgServicePrincipal komutunu kullanın.

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Rol atamasının kapsamının belirlenmiş olmasını istediğiniz uygulama kaydını almak için Get-MgApplication kullanın.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API'si

Graph Gezgini'nde Microsoft Graph API'sini kullanarak uygulama kapsamında rol atamak için bu yönergeleri izleyin.

1. Grafik Gezgini'nde oturum açın.

2. Kullanıcıyı almak için Liste kullanıcıları API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Atamak istediğiniz rolü almak için List unifiedRoleDefinitions API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Rol atamasının kapsamının uygulanmasını istediğiniz uygulamayı almak için Uygulamaları listeleme API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Rolü atamak için UnifiedRoleAssignment API'sini oluşturun.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   

   Not

   Bu örnekte, yönetim birimi bölümünden farklı olarak directoryScopeId/<ID>olarak belirtilir. Tasarım gereğidir. /<ID> kapsamı, yetkilinin bu Microsoft Entra nesnesini yönetebileceği anlamına gelir. Kapsam /administrativeUnits/<ID>, sorumlunun yönetim biriminin kendisini değil yönetim biriminin üyelerini (sorumlunun atandığı role göre) yönetebileceği anlamına gelir.

Yönetim birimi kapsamında roller atama

Microsoft Entra Id'de, daha ayrıntılı yönetim denetimi için,bir veya daha fazla yönetim birimiyle sınırlı bir kapsama sahip bir Microsoft Entra rolü atayabilirsiniz. Bir yönetim birimi kapsamında bir Microsoft Entra rolü atandığında, rol izinleri yalnızca yönetim biriminin üyelerini yönetirken uygulanır ve kiracı genelindeki ayarlara veya yapılandırmalara uygulanmaz.

Örneğin, bir yönetim birimi kapsamında Gruplar Yöneticisi rolüne atanan bir yönetici, yönetim biriminin üyesi olan grupları yönetebilir, ancak kiracıdaki diğer grupları yönetemez. Ayrıca süre sonu veya grup adlandırma ilkeleri gibi grupla ilgili kiracı düzeyindeki ayarları yönetemezler.

Bu bölümde, yönetim birimi kapsamına sahip Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır.

Önkoşullar

• Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
• Yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları
• Ayrıcalıklı Rol Yöneticisi
• PowerShell kullanırken Microsoft Graph PowerShell modülü
• Microsoft Graph API için Graph Gezgini'ni kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

Yönetim birimi kapsamıyla atanabilecek roller

Aşağıdaki Microsoft Entra rolleri yönetim birimi kapsamıyla atanabilir. Ayrıca, özel rolün izinleri kullanıcılar, gruplar veya cihazlarla ilgili en az bir izin içerdiği sürece, herhangi bir özel rol yönetim birimi kapsamıyla atanabilir.

Rol	Açıklama
kimlik doğrulama yöneticisi	Yalnızca atanan yönetim birimindeki yönetici olmayan kullanıcılar için kimlik doğrulama yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir.
Öznitelik Atama Yöneticisi	Yalnızca yönetim birimi içindeki kullanıcılar veya hizmet sorumluları için özel güvenlik özniteliği atamalarını (herhangi bir öznitelik kümesinden) okuyabilir ve güncelleştirebilir.
Özellik Atama Okuyucusu	Yalnızca yönetim birimi içindeki kullanıcılar veya hizmet sorumluları için özel güvenlik özniteliklerini (herhangi bir öznitelik kümesinden) okuyabilir.
Bulut Cihazı Yöneticisi	Microsoft Entra Id'de cihazları yönetmek için sınırlı erişim.
Grup Yöneticisi	Yalnızca atanan yönetim birimindeki grupların tüm yönlerini yönetebilir.
yardım masası yöneticisi	Yalnızca atanan yönetim biriminde yönetici olmayanlar için parolaları sıfırlayabilir.
Lisans Yöneticisi	Lisans atamalarını yalnızca yönetim birimi içinde atayabilir, kaldırabilir ve güncelleştirebilir.
Parola Yöneticisi	Yalnızca atanan yönetim birimi içinde yönetici olmayanlar için parolaları sıfırlayabilir.
yazıcı yöneticisi	Yazıcıları ve yazıcı bağlayıcılarını yönetebilir. Daha fazla bilgi için bkz. Evrensel Yazdırma'da yazıcıların yönetimine temsilci atama.
Ayrıcalıklı Kimlik Doğrulama Yöneticisi	Herhangi bir kullanıcının (yönetici veya yönetici olmayan) kimlik doğrulama yöntemi bilgilerini görüntüleyebilir, ayarlayabilir ve sıfırlayabilir.
SharePoint Yöneticisi	Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Bir yönetim birimindeki Microsoft 365 gruplarıyla ilişkilendirilmiş SharePoint siteleri için, Microsoft 365 yönetim merkezini kullanarak site özelliklerini (site adı, URL ve dış paylaşım ilkesi) de güncelleştirebilir. Siteleri yönetmek için SharePoint yönetim merkezi veya SharePoint API'leri kullanılamaz.
Teams Yöneticisi	Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Yalnızca atanan yönetim birimindeki gruplarla ilişkili ekipler için Microsoft 365 yönetim merkezinde ekip üyelerini yönetebilir. Teams yönetim merkezi kullanılamaz.
Teams Cihazları Yöneticisi	Teams sertifikalı cihazlarda yönetimle ilgili görevleri gerçekleştirebilir.
Kullanıcı Yöneticisi	Yalnızca atanan yönetim birimi içindeki sınırlı yöneticilerin parolalarını sıfırlama da dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir. Şu anda kullanıcıların profil fotoğrafları yönetilemiyor.
<Özel rol>	Özel rolün tanımına göre kullanıcılara, gruplara veya cihazlara uygulanan eylemler gerçekleştirebilir.

Belirli rol izinleri yalnızca bir yönetim biriminin kapsamıyla atandığında yönetici olmayan kullanıcılar için geçerlidir. Yani, yönetim birimi kapsamındaki Yardım Masası Yöneticileri, yönetim birimindeki kullanıcıların parolalarını, ancak bu kullanıcıların yönetici rollerine sahip olmadığı durumlarda sıfırlayabilir. Bir eylemin hedefi başka bir yönetici olduğunda aşağıdaki izin listesi kısıtlanır:

• Kullanıcı kimlik doğrulama yöntemlerini okuma ve değiştirme veya kullanıcı parolalarını sıfırlama
• Telefon numaraları, alternatif e-posta adresleri veya Açık Yetkilendirme (OAuth) gizli anahtarları gibi hassas kullanıcı özelliklerini değiştirme
• Kullanıcı hesaplarını silme veya geri yükleme

Yönetim birimi kapsamıyla atanabilecek güvenlik sorumluları

Aşağıdaki güvenlik sorumluları yönetim birimi kapsamına sahip bir role atanabilir:

• Kullanıcılar
• Microsoft Entra atanabilir rol grupları
• Hizmet sorumluları

Hizmet sorumluları ve konuk kullanıcılar

Hizmet sorumluları ve konuk kullanıcılar, nesneleri okumak için bunlara karşılık gelen izinler atanmadığı sürece yönetim birimi kapsamındaki bir rol atamasını kullanamaz. Bunun nedeni, hizmet sorumlularının ve konuk kullanıcıların yönetici eylemleri gerçekleştirmek için gereken dizin okuma izinlerini varsayılan olarak almamalarıdır. Hizmet sorumlusunun veya konuk kullanıcının kapsamı yönetim birimi olan bir rol atamasını kullanmasını sağlamak için, kiracı kapsamında Dizin Okuyucuları rolünü (veya okuma izinlerini içeren başka bir rolü) atamanız gerekir.

Şu anda bir yönetim birimi kapsamında dizin okuma izinleri atamak mümkün değildir. Kullanıcıların varsayılan izinleri hakkında daha fazla bilgi için bkz.varsayılan kullanıcı izinlerini .

Yönetim birimi kapsamında roller atama

Bu bölümde, yönetim birimi kapsamında rollerin nasıl atandığı açıklanmaktadır.

Yönetim merkezi

1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

2. Entra ID>Roller ve yöneticiler>Yönetici birimleri konumuna gidin.

3. Bir yönetim birimi seçin.

   

4. Bir yönetim birimi üzerinden atanabilecek tüm rollerin listesini görmek için sol gezinti menüsünden Roller ve yöneticiler'i seçin.

   

5. İstediğiniz rolü seçin.

   Bahşiş

   Microsoft Entra yerleşik veya özel rolleri listesinin tamamını burada görmezsiniz. Bu beklenen bir durumdur. Yönetim birimi içinde desteklenen nesnelerle ilgili izinlere sahip rolleri gösteririz. Bir yönetim biriminde desteklenen nesnelerin listesini görmek için bkz. Microsoft Entra Id'de yönetim birimleri.

6. Atama ekle'yi seçin ve ardından bu rolü atamak istediğiniz kullanıcıları veya grupları seçin.

7. Yönetim biriminin kapsamı belirlenmiş rolü atamak için Ekle'yi seçin.

PowerShell

PowerShell kullanarak yönetim birimi kapsamında Microsoft Entra rollerini atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse, Microsoft Graph PowerShell'i yüklemek için Install-Module kullanın. Daha fazla bilgi için bkz. PowerShell veya Graph Explorer'ı kullanma önkoşulları.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde Connect-MgGraph kullanarak kiracınızda oturum açın.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Rol atamasının kapsamının olmasını istediğiniz yönetim birimini almak için Get-MgDirectoryAdministrativeUnit kullanın.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API'si

Graph Gezgini'nde Microsoft Graph API'sini kullanarak yönetim birimi kapsamında rol atamak için bu yönergeleri izleyin.

UnifiedRoleAssignment API'sini kullanarak rol atama yapma

1. Grafik Gezgini'nde oturum açın.

2. Kullanıcıyı almak için Liste kullanıcıları API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Atamak istediğiniz rolü almak için List unifiedRoleDefinitions API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Rol atamasının kapsamının olmasını istediğiniz yönetim birimini almak için List administrativeUnits API'sini kullanın.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Rolü atamak için UnifiedRoleAssignment API'sini oluşturun.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   

   Rol desteklenmiyorsa yanıt hatalı bir istektir.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Not

   Bu örnekte, directoryScopeId/administrativeUnits/<ID>yerine /<ID>olarak belirtilir. Tasarım gereğidir. Kapsam /administrativeUnits/<ID>, sorumlunun yönetim biriminin kendisini değil yönetim biriminin üyelerini (sorumlunun atandığı role göre) yönetebileceği anlamına gelir. /<ID> kapsamı, yetkilinin bu Microsoft Entra nesnesini yönetebileceğini ifade eder. Uygulama kaydı bölümünde, uygulama kaydı üzerinde kapsam belirlenmiş bir rolün nesnenin kendisini yönetme ayrıcalığını sağladığını, bu nedenle kapsamın /<ID> olduğunu görürsünüz.

Add a scopedRoleMember API kullanarak rol atayın

Alternatif olarak, yönetim birimi kapsamına sahip bir rol atamak için ScopedRoleMember API'sini de kullanabilirsiniz.

İstek

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Gövde

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Sonraki adımlar

• Microsoft Entra rol atamalarını listele
• Privileged Identity Management'ta Microsoft Entra rolleri atama
• Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma
• gruplara atanan Microsoft Entra rolleriyle ilgili sorunları giderme