Microsoft Entra rollerini atama

Bu makalede, Microsoft Entra yönetim merkezini, Microsoft Graph PowerShell'i veya Microsoft Graph API'sini kullanarak kullanıcılara ve gruplara Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır. Ayrıca kiracı, uygulama kaydı ve yönetim birimi kapsamları gibi farklı kapsamlarda rollerin nasıl atandığı da açıklanır.

Kullanıcıya hem doğrudan hem de dolaylı rol atamaları atayabilirsiniz. Bir kullanıcıya bir grup üyeliği tarafından rol atanırsa, rol atamasını eklemek için kullanıcıyı gruba ekleyin. Daha fazla bilgi için bkz. rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma.

Microsoft Entra Id'de roller genellikle kiracının tamamına uygulanacak şekilde atanır. Ancak, uygulama kayıtları veya yönetim birimleri gibi farklı kaynaklar için Microsoft Entra rollerini de atayabilirsiniz. Örneğin, Yardım Masası Yöneticisi rolünü atayarak kiracının tamamına değil yalnızca belirli bir yönetim birimine uygulanabilmesini sağlayabilirsiniz. Rol atamasının uygulandığı kaynaklara kapsam da denir. Rol atamasının kapsamını kısıtlamak, yerleşik ve özel roller için desteklenir. Kapsam hakkında daha fazla bilgi için bkz. Microsoft Entra Idrol tabanlı erişim denetimine (RBAC) genel bakış.

PIM'deki Microsoft Entra rolleri

Microsoft Entra Id P2 lisansınız ve Privileged Identity Management (PIM)varsa, rol atarken kullanıcıyı rol ataması için uygun hale getirme veya rol ataması için başlangıç ve bitiş saatini tanımlama gibi ek özelliklere sahip olursunuz. PIM'de Microsoft Entra rolleri atama hakkında bilgi için şu makalelere bakın:

Yöntem	Bilgi
Microsoft Entra yönetim merkezi	Privileged Identity Management'da Microsoft Entra rollerini atama
Microsoft Graph PowerShell	Öğreticisi: Microsoft Graph PowerShell kullanarak Privileged Identity Management'ta Microsoft Entra rollerini atama
Microsoft Graph API'si	PIM API'lerini kullanarak Microsoft Entra rol atamalarını yönetme Privileged Identity Management'da Microsoft Entra rollerini atama

Önkoşullar

• Ayrıcalıklı Rol Yöneticisi
• PowerShell ile Microsoft Graph PowerShell modülünü kullanırken
• Microsoft Graph API için Graph Gezgini'ni kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

Kiracı kapsamıyla rol atama

Bu bölümde kiracı düzeyinde rollerin nasıl atanacağı açıklanmaktadır.

Yönetim Merkezi

1. Microsoft Entra yönetim merkezine en az Ayrıcalıklı Rol Yöneticisiolarak oturum açın.

2. Kimlik>Rolleri'ne göz atın & yöneticiler>Roller & yöneticiler.

   

3. Rolü açmak için bir rol adı seçin. Rolün yanına onay işareti eklemeyin.

   

4. atama ekle seçin ve ardından bu role atamak istediğiniz kullanıcıları veya grupları seçin.

   Yalnızca rol atanabilir gruplar görüntülenir. Bir grup listelenmiyorsa rol atanabilir bir grup oluşturmanız gerekir. Daha fazla bilgi için bkz. Microsoft Entra ID'de rol atanabilir grup oluşturma.

   Deneyiminiz aşağıdaki ekran görüntüsünden farklıysa Microsoft Entra ID P2 ve PIM'iniz olabilir. Daha fazla bilgi için bkz. Privileged Identity Management'da Microsoft Entra rollerini atama .

   

5. Rolü atamak için ekle'yi seçin.

PowerShell

PowerShell kullanarak Microsoft Entra rollerini atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse Install-Module kullanarak Microsoft Graph PowerShell'i yükleyin. Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde, kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.

   PowerShell

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Rol atanabilir grubu almak için Get-MgGroup kullanın.

   PowerShell

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   Tüm yerleşik rollerin rol tanımı kimliklerinin listesini görmek için bkz. Microsoft Entra yerleşik rolleri.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Rol atamasının kapsamı olarak kiracıyı belirleyin.

   PowerShell

   $directoryScope = '/'
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Bir rol atamanın başka bir yolu aşağıdadır.

   PowerShell

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API

Graph Explorer'nde Microsoft Graph API'sini kullanarak rol atamak için bu yönergeleri izleyin.

1. Graph Explorer'a oturum açın.

2. Kullanıcıyı almak için Kullanıcıları Listele API'sini ve kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Rol atanabilir grubu almak için Liste grupları API'sini kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Atamak istediğiniz rolü almak için Listesi unifiedRoleDefinitions API'sini kullanın.

   Tüm yerleşik rollerin rol tanımı kimliklerinin listesini görmek için bkz. Microsoft Entra yerleşik rolleri.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Rolü atamak için Create unifiedRoleAssignment API'sini kullanın.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Yanıt

   HTTP

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Sorumlu veya rol tanımı yoksa yanıt bulunamaz.

   Yanıt

   HTTP

   HTTP/1.1 404 Not Found
   

Uygulama kayıt kapsamıyla rol atama

Kuruluşunuzdaki tüm uygulama kayıtları üzerinde erişim izinleri sağlamak için varsayılan olarak kiracı düzeyinde atanmış yerleşik roller ve özel roller vardır. Ayrıca, özel roller ve bazı ilgili yerleşik roller (Microsoft Entra kaynağının türüne bağlı olarak) tek bir Microsoft Entra kaynağı kapsamında da atanabilir. Bu, kullanıcıya ikinci bir özel rol oluşturmak zorunda kalmadan tek bir uygulamanın kimlik bilgilerini ve temel özelliklerini güncelleştirme izni vermenizi sağlar.

Bu bölümde, uygulama kayıt kapsamında rollerin nasıl atandığı açıklanmaktadır.

Yönetim Merkezi

1. Microsoft Entra yönetim merkezinde en az Uygulama Geliştiriciolarak giriş yapın.

2. Identity>Applications>App registrationsbölümüne gidin.

3. Bir uygulama seçin. İstediğiniz uygulamayı bulmak için arama kutusunu kullanabilirsiniz.

   Kiracınızdaki uygulama kayıtlarının tam listesini görmek için tüm uygulamalar seçmeniz gerekebilir.

   

4. Uygulama kaydı üzerinden atanabilecek tüm rollerin listesini görmek için sol gezinti menüsünden Rolleri ve yöneticileri seçin.

   

5. İstediğiniz rolü seçin.

   İpucu

   Microsoft Entra yerleşik veya özel rolleri listesinin tamamını burada görmezsiniz. Bu beklenen bir durumdur. Yalnızca uygulama kayıtlarını yönetmeyle ilgili izinlere sahip rolleri gösteririz.

6. Görev Ekle'yi seçin ve ardından bu rolü atamak istediğiniz kullanıcıları veya grupları seçin.

   

7. Uygulama kaydı kapsamındaki rolü atamak için 'ı seçin, ardından'i ekleyin.

PowerShell

PowerShell kullanarak uygulama kapsamında Microsoft Entra rolleri atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse Install-Module kullanarak Microsoft Graph PowerShell'i yükleyin. Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde, kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.

   PowerShell

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Rolü kullanıcı yerine hizmet sorumlusuna atamak için Get-MgServicePrincipal komutunu kullanın.

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Rol atamasının kapsamak istediğiniz uygulama kaydını almak için Get-MgApplication komutunu kullanın.

   PowerShell

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API

Graph Explorer'nde Microsoft Graph API'sini kullanarak uygulama kapsamında rol atamak için bu yönergeleri izleyin.

1. Graph Explorer'a oturum açın.

2. Kullanıcıyı almak için Kullanıcıları Listele API'sini ve kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Atamak istediğiniz rolü almak için Listesi unifiedRoleDefinitions API'sini kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Rol atamasının yapılacağı uygulamayı almak için List uygulamaları API'sini kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Rolü atamak için Create unifiedRoleAssignment API'sini kullanın.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Yanıt

   HTTP

   HTTP/1.1 201 Created
   

   Not

   Bu örnekte, yönetim birimi bölümünden farklı olarak directoryScopeId/<ID>olarak belirtilir. Tasarım gereğidir. /<ID> kapsamı, yetkilinin bu Microsoft Entra nesnesini yönetebileceği anlamına gelir. Kapsam /administrativeUnits/<ID>, sorumlunun yönetim biriminin kendisini değil yönetim biriminin üyelerini (sorumlunun atandığı role göre) yönetebileceği anlamına gelir.

Yönetim birimi kapsamında roller atama

Microsoft Entra Id'de, daha ayrıntılı yönetim denetimi için,bir veya daha fazla yönetim birimiyle sınırlı bir kapsama sahip bir Microsoft Entra rolü atayabilirsiniz. Bir yönetim birimi kapsamında bir Microsoft Entra rolü atandığında, rol izinleri yalnızca yönetim biriminin üyelerini yönetirken uygulanır ve kiracı genelindeki ayarlara veya yapılandırmalara uygulanmaz.

Örneğin, bir yönetim birimi kapsamında Gruplar Yöneticisi rolüne atanan bir yönetici, yönetim biriminin üyesi olan grupları yönetebilir, ancak kiracıdaki diğer grupları yönetemez. Ayrıca süre sonu veya grup adlandırma ilkeleri gibi grupla ilgili kiracı düzeyindeki ayarları yönetemezler.

Bu bölümde, yönetim birimi kapsamına sahip Microsoft Entra rollerinin nasıl atandığı açıklanmaktadır.

Önkoşullar

• Her yönetim birimi yöneticisi için Microsoft Entra Id P1 veya P2 lisansı
• Yönetim birimi üyeleri için Microsoft Entra ID Ücretsiz lisansları
• Ayrıcalıklı Rol Yöneticisi
• PowerShell kullanırken Microsoft Graph PowerShell modülü
• Microsoft Graph API için Graph Gezgini'ni kullanırken yönetici onayı

Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

Yönetim birimi kapsamıyla atanabilecek roller

Aşağıdaki Microsoft Entra rolleri yönetim birimi kapsamıyla atanabilir. Ayrıca, özel rolün izinleri kullanıcılar, gruplar veya cihazlarla ilgili en az bir izin içerdiği sürece, özel rol yönetim birimi kapsamıyla atanabilir.

Rol	Açıklama
kimlik doğrulama yöneticisi	Yalnızca atanan yönetim birimindeki yönetici olmayan kullanıcılar için kimlik doğrulama yöntemi bilgilerini görüntüleme, ayarlama ve sıfırlama erişimine sahiptir.
Bulut Cihazı Yöneticisi	Microsoft Entra Id'de cihazları yönetmek için sınırlı erişim.
Grupları Yönetici	Yalnızca atanan yönetim birimindeki grupların tüm yönlerini yönetebilir.
yardım masası yöneticisi	Yalnızca atanan yönetim biriminde yönetici olmayanlar için parolaları sıfırlayabilir.
Lisans Yöneticisi	Lisans atamalarını yalnızca yönetim birimi içinde atayabilir, kaldırabilir ve güncelleştirebilir.
Parola Yöneticisi	Yalnızca atanan yönetim birimi içinde yönetici olmayanlar için parolaları sıfırlayabilir.
yazıcı yöneticisi	Yazıcıları ve yazıcı bağlayıcılarını yönetebilir. Daha fazla bilgi için bkz. Universal Print'teki yazıcıların yönetimini devretme.
Ayrıcalıklı Kimlik Doğrulama Yöneticisi	Herhangi bir kullanıcının (yönetici veya yönetici olmayan) kimlik doğrulama yöntemi bilgilerini görüntüleyebilir, ayarlayabilir ve sıfırlayabilir.
SharePoint Yöneticisi	Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Bir yönetim birimindeki Microsoft 365 gruplarıyla ilişkilendirilmiş SharePoint siteleri için, Microsoft 365 yönetim merkezini kullanarak site özelliklerini (site adı, URL ve dış paylaşım ilkesi) de güncelleştirebilir. Siteleri yönetmek için SharePoint yönetim merkezi veya SharePoint API'leri kullanılamaz.
Teams Yöneticisi	Microsoft 365 gruplarını yalnızca atanan yönetim biriminde yönetebilir. Yalnızca atanan yönetim birimindeki gruplarla ilişkili ekipler için Microsoft 365 yönetim merkezinde ekip üyelerini yönetebilir. Teams yönetim merkezi kullanılamaz.
Teams Cihaz Yöneticisi	Teams sertifikalı cihazlarda yönetimle ilgili görevleri gerçekleştirebilir.
Kullanıcı Yöneticisi	Yalnızca atanan yönetim birimi içindeki sınırlı yöneticilerin parolalarını sıfırlama da dahil olmak üzere kullanıcıların ve grupların tüm yönlerini yönetebilir. Şu anda kullanıcıların profil fotoğrafları yönetilemiyor.
<Özel rol>	Özel rolün tanımına göre kullanıcılara, gruplara veya cihazlara uygulanan eylemler gerçekleştirebilir.

Belirli rol izinleri yalnızca bir yönetim biriminin kapsamıyla atandığında yönetici olmayan kullanıcılar için geçerlidir. Başka bir deyişle, yalnızca yönetici rolüne sahip olmayan kullanıcılar söz konusu olduğunda, yönetim birimi kapsamındaki Yardım Masası Yöneticileri, yönetim birimindeki kullanıcıların parolalarını sıfırlayabilir. Bir eylemin hedefi başka bir yönetici olduğunda aşağıdaki izin listesi kısıtlanır:

• Kullanıcı kimlik doğrulama yöntemlerini okuma ve değiştirme veya kullanıcı parolalarını sıfırlama
• Telefon numaraları, alternatif e-posta adresleri veya Açık Yetkilendirme (OAuth) gizli anahtarları gibi hassas kullanıcı özelliklerini değiştirme
• Kullanıcı hesaplarını silme veya geri yükleme

Yönetim birimi kapsamıyla atanabilecek güvenlik sorumluları

Aşağıdaki güvenlik sorumluları yönetim birimi kapsamına sahip bir role atanabilir:

• Kullanıcılar
• Microsoft Entra rol atanabilir grupları
• Hizmet sorumluları

Hizmet sorumluları ve konuk kullanıcılar

Hizmet sorumluları ve konuk kullanıcılar, nesneleri okumak için bunlara karşılık gelen izinler atanmadığı sürece yönetim birimi kapsamındaki bir rol atamasını kullanamaz. Bunun nedeni, hizmet sorumlularının ve konuk kullanıcıların yönetici eylemleri gerçekleştirmek için gereken dizin okuma izinlerini varsayılan olarak almamalarıdır. Hizmet sorumlusunun veya konuk kullanıcının kapsamı yönetim birimi olan bir rol atamasını kullanmasını sağlamak için, kiracı kapsamında Dizin Okuyucuları rolünü (veya okuma izinlerini içeren başka bir rolü) atamanız gerekir.

Şu anda bir yönetim birimi kapsamında dizin okuma izinleri atamak mümkün değildir. Kullanıcıların varsayılan izinleri hakkında daha fazla bilgi için bkz.varsayılan kullanıcı izinlerini .

Yönetim birimi kapsamında roller atama

Bu bölümde, yönetim birimi kapsamında rollerin nasıl atandığı açıklanmaktadır.

Yönetim Merkezi

1. Microsoft Entra yönetim merkezine en az Ayrıcalıklı Rol Yöneticisiolarak oturum açın.

2. Kimlik>Rolleri'ne göz atın & yöneticiler>Yönetim birimleri.

3. Bir yönetim birimi seçin.

   

4. Yönetim birimi üzerinden atanabilecek tüm rollerin listesini görmek için sol gezinti menüsünden Roller ve yöneticiler seçin.

   

5. İstediğiniz rolü seçin.

   İpucu

   Microsoft Entra yerleşik veya özel rolleri listesinin tamamını burada görmezsiniz. Bu beklenen bir durumdur. Yönetim birimi içinde desteklenen nesnelerle ilgili izinlere sahip rolleri gösteririz. Bir yönetim biriminde desteklenen nesnelerin listesini görmek için bkz. Microsoft Entra IdYönetim birimleri.

6. Görev Ekle'yi seçin ve ardından bu rolü atamak istediğiniz kullanıcıları veya grupları seçin.

7. Yönetim birimi kapsamındaki rolü atamak için ekle'yi seçin.

PowerShell

PowerShell kullanarak yönetim birimi kapsamında Microsoft Entra rollerini atamak için bu adımları izleyin.

1. Bir PowerShell penceresi açın. Gerekirse Install-Module kullanarak Microsoft Graph PowerShell'i yükleyin. Daha fazla bilgi için bkz. PowerShell veya Graph Explorerkullanmak için önkoşullar.

   PowerShell

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. PowerShell penceresinde, kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.

   PowerShell

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Kullanıcıyı almak için Get-MgUser kullanın.

   PowerShell

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Atamak istediğiniz rolü almak için Get-MgRoleManagementDirectoryRoleDefinition kullanın.

   PowerShell

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Rol atamasının kapsamını istediğiniz yönetim birimini almak için Get-MgDirectoryAdministrativeUnit kullanın.

   PowerShell

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Rolü atamak için New-MgRoleManagementDirectoryRoleAssignment kullanın.

   PowerShell

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API

Graph Explorer'nde Microsoft Graph API'sini kullanarak yönetim birimi kapsamında rol atamak için bu yönergeleri izleyin.

UnifiedRoleAssignment API'sini kullanarak rol atama yapma

1. Graph Explorer'a oturum açın.

2. Kullanıcıyı almak için Kullanıcıları Listele API'sini ve kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Atamak istediğiniz rolü almak için Listesi unifiedRoleDefinitions API'sini kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Rol atamasının kapsamının olmasını istediğiniz yönetim birimini almak için Listesi yönetim Birimleri API'sini kullanın.

   HTTP

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Rolü atamak için Create unifiedRoleAssignment API'sini kullanın.

   HTTP

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Yanıt

   HTTP

   HTTP/1.1 201 Created
   

   Rol desteklenmiyorsa yanıt hatalı bir istektir.

   HTTP

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Not

   Bu örnekte, directoryScopeId/administrativeUnits/<ID>yerine /<ID>olarak belirtilir. Tasarım gereğidir. Kapsam /administrativeUnits/<ID>, sorumlunun yönetim biriminin kendisini değil yönetim biriminin üyelerini (sorumlunun atandığı role göre) yönetebileceği anlamına gelir. /<ID> kapsamı, yetkilinin bu Microsoft Entra nesnesini yönetebileceğini ifade eder. Uygulama kaydı bölümünde, uygulama kaydı üzerinde kapsam belirlenmiş bir rolün nesnenin kendisini yönetme ayrıcalığını sağladığını, bu nedenle kapsamın /<ID> olduğunu görürsünüz.

ScopedRoleMember API'sini kullanarak rol atama

Alternatif olarak, yönetim birimi kapsamına sahip bir rol atamak için ScopedRoleMember API'sini ekleme kullanabilirsiniz.

İstek

HTTP

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Gövde

HTTP

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Sonraki adımlar

• Microsoft Entra rol atamalarını listeleyin
• Privileged Identity Management'da Microsoft Entra rollerini atama
• Rol atamalarını yönetmek için Microsoft Entra gruplarını kullanma
• gruplara atanan Microsoft Entra rolleriyle ilgili sorunları giderme