Přiřaďte role Microsoft Entra

Článek
01/03/2025

Tento článek popisuje, jak přiřadit role Microsoft Entra uživatelům a skupinám pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Popisuje také, jak přiřadit role v různých oborech, jako jsou tenant, registrace aplikace a obory jednotek pro správu.

Uživateli můžete přiřadit přímá i nepřímá přiřazení rolí. Pokud je uživateli přiřazena role členstvím ve skupině, přidejte ho do skupiny a přidejte přiřazení role. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.

V ID Microsoft Entra se role obvykle přiřazují, aby platily pro celého tenanta. Můžete ale také přiřadit role Microsoft Entra pro různé prostředky, jako jsou registrace aplikací nebo jednotky pro správu. Můžete například přiřadit roli Správce helpdesku, aby se vztahovala pouze na konkrétní jednotku pro správu, a ne na celého tenanta. Prostředky, na které se přiřazení role vztahuje, se také označují jako obor. Omezení rozsahu přiřazení role je podporováno pro předdefinované a vlastní role. Pro více informací o rozsahu viz téma Přehled řízení přístupu na základě role (RBAC) v Microsoft Entra ID.

Role Microsoft Entra v Privilegovaném Spravování Identit (PIM)

Pokud máte licenci Microsoft Entra ID P2 a Privileged Identity Management (PIM), máte při přiřazování rolí další možnosti, jako například zpřístupnění uživatele pro přiřazení role nebo definování počátečního a koncového času platnosti přiřazení role. Informace o přiřazování rolí Microsoft Entra v PIM najdete v těchto článcích:

Metoda	Informace
Centrum pro správu Microsoft Entra	Přiřaďte role Microsoft Entra v Privileged Identity Management
Microsoft Graph PowerShell	Kurz : Přiřazení rolí Microsoft Entra v Privileged Identity Management pomocí Microsoft Graph PowerShellu
Microsoft Graph API	Správa přiřazení rolí Microsoft Entra pomocí rozhraní API PIM Přiřazení rolí Microsoft Entra ve službě Privileged Identity Management

Požadavky

Správce privilegovaných rolí
modul Microsoft Graph PowerShell při použití s PowerShellem
Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API

Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.

Přiřazení rolí v rámci tenant

Tato část popisuje, jak přiřadit role na úrovni tenanta.

Spropitné

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce privilegovaných rolí.
Přejděte na Identity>Role & správci>Role & správci.
Výběrem názvu role otevřete roli. Nepřidávejte značku zaškrtnutí vedle role.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupiny, které chcete přiřadit k této roli.

Zobrazí se pouze skupiny s možností přiřazení role. Pokud skupina není uvedená, budete muset vytvořit skupinu s možností přiřazení role. Další informace najdete v tématu Vytvoření skupiny s přiřaditelnou rolí v Microsoft Entra ID.

Pokud je vaše zkušenost jiná než následující snímek obrazovky, můžete mít Microsoft Entra ID P2 a PIM. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v Privileged Identity Management.
Vyberte Přidat a přiřaďte roli.

Pomocí následujícího postupu přiřaďte role Microsoft Entra pomocí PowerShellu.

Otevřete okno PowerShellu. V případě potřeby pomocí Install-Module nainstalujte Microsoft Graph PowerShell. Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```
V okně PowerShellu se přihlaste ke svému tenantovi pomocí Connect-MgGraph.
```
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
```

K získání uživatele použijte Get-MgUser.

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

Pomocí Get-MgGroup získejte skupinu přiřaditelnou k rolím.

$group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"

Pomocí Get-MgRoleManagementDirectoryRoleDefinition získejte roli, kterou chcete přiřadit.

Seznam ID definic rolí pro všechny vestavěné role najdete v sekci vestavěné role Microsoft Entra.
```
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
```
Nastavte tenanta jako rozsah přiřazení role.
```
$directoryScope = '/'
```

K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
    -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
    -RoleDefinitionId $roleDefinition.Id

Tady je další způsob, jak přiřadit roli.

$params = @{
   "directoryScopeId" = "/" 
   "principalId" = $group.Id
   "roleDefinitionId" = $roleDefinition.Id
}
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params

Podle těchto pokynů přiřaďte roli pomocí rozhraní Microsoft Graph API v Graph Exploreru.

Přihlaste se k Graph Exploreru.

Použijte rozhraní API seznam uživatelů k získání uživatele.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

Použijte rozhraní API List groups k získání skupiny, která se dá přiřadit role.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'

K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

Seznam ID definic rolí pro všechny předdefinované role najdete v tématu předdefinované role Microsoft Entra.
```
GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
```

K přiřazení role použijte Create unifiedRoleAssignment API.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user or group>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/"
}

Odpověď

HTTP/1.1 201 Created
Content-type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
    "id": "<Role assignment ID>",
    "roleDefinitionId": "<ID of role definition>",
    "principalId": "<Object ID of user or group>",
    "directoryScopeId": "/"
}

Pokud definice objektu zabezpečení nebo role neexistuje, odpověď je nenalezena.

Odpověď

HTTP/1.1 404 Not Found

Přiřazení rolí v rámci oboru registrace aplikace

Předdefinované role a vlastní role se ve výchozím nastavení přiřazují na úrovni tenanta k udělení přístupových oprávnění pro všechny registrace aplikací ve vaší organizaci. Kromě toho je možné vlastní role a některé relevantní předdefinované role (v závislosti na typu prostředku Microsoft Entra) přiřadit také v rozsahu jednoho prostředku Microsoft Entra. To umožňuje uživateli udělit oprávnění k aktualizaci přihlašovacích údajů a základních vlastností jedné aplikace, aniž byste museli vytvořit druhou vlastní roli.

Tato část popisuje, jak přiřadit role v oboru registrace aplikace.

Přihlaste se do centra pro správu Microsoft Entra alespoň jako vývojář aplikací.
Přejděte na Identity>Applications>Registrace aplikací.
Vyberte aplikaci. K vyhledání požadované aplikace můžete použít vyhledávací pole.

Možná budete muset vybrat Všechny aplikace, abyste viděli úplný seznam registrací aplikací ve vašem tenantovi.
V levé navigační nabídce vyberte Role a správci a zobrazte seznam všech rolí, které mají být přiřazeny při registraci aplikace.
Vyberte požadovanou roli.

Spropitné

Tady neuvidíte celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. Očekává se to. Zobrazujeme role, které mají oprávnění související pouze se správou registrací aplikací.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupiny, ke které chcete tuto roli přiřadit.
Výběrem Přidat přiřaďte roli vymezenou při registraci aplikace.

Pomocí následujícího postupu přiřaďte role Microsoft Entra v oboru aplikace pomocí PowerShellu.

Otevřete okno PowerShellu. V případě potřeby pomocí Install-Module nainstalujte Microsoft Graph PowerShell. Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

V okně PowerShellu se přihlaste ke svému tenantovi pomocí Connect-MgGraph.

Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

K získání uživatele použijte Get-MgUser.
```
$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
```
Chcete-li roli přiřadit instančnímu objektu služby namísto uživatele, použijte příkaz Get-MgServicePrincipal.

Pomocí Get-MgRoleManagementDirectoryRoleDefinition získejte roli, kterou chcete přiřadit.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'Application Administrator'"

Pomocí Get-MgApplication získejte registraci aplikace, na kterou má být přiřazení role vymezeno.

$appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

Podle těchto pokynů přiřaďte roli v oboru aplikace pomocí rozhraní Microsoft Graph API v Graph Exploreru.

Přihlaste se do Graph Exploreru.

K získání uživatele použijte seznam uživatelů rozhraní API.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'

Pomocí rozhraní API List applications získáte aplikaci, na kterou má být přiřazení role specifikováno.
```
GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
```
K přiřazení role použijte Create unifiedRoleAssignment API.
```
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/<Object ID of app registration>"
}
```
Odpověď
```
HTTP/1.1 201 Created
```
Poznámka

V tomto příkladu je directoryScopeId zadán jako /<ID>, na rozdíl od části administrativní jednotky. Je to záměrně. Rozsah /<ID> znamená, že správce může spravovat objekt Microsoft Entra. Rozsah /administrativeUnits/<ID> znamená, že hlavní uživatel může spravovat členy správní jednotky na základě přiřazené role, ale ne samotnou správní jednotku.

Přiřadit role v rámci správních jednotek

V Microsoft Entra ID můžete pro podrobnější administrativní kontrolu přiřadit roli Microsoft Entra s rozsahem, který je omezený na jednu nebo více administrativních jednotek. Pokud je role Microsoft Entra přiřazena v oboru jednotky pro správu, oprávnění role se vztahují pouze na správu členů samotné jednotky pro správu a nevztahují se na nastavení nebo konfigurace pro celého tenanta.

Například správce, který má přiřazenou roli Správce skupin v oboru jednotky pro správu, může spravovat skupiny, které jsou členy jednotky pro správu, ale nemůžou spravovat jiné skupiny v tenantovi. Nemůžou také spravovat nastavení na úrovni tenanta související se skupinami, jako jsou zásady vypršení platnosti nebo pojmenování skupin.

Tato část popisuje, jak přiřadit role Microsoft Entra v rámci jednotek pro správu.

Požadavky

Licence Microsoft Entra ID P1 nebo P2 pro každého správce administrativní jednotky
Bezplatné licence Microsoft Entra ID pro členy jednotek pro správu
Správce privilegovaných rolí
Modul Microsoft Graph PowerShellu při použití PowerShellu
Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API

Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.

Role, které je možné přiřadit v rámci správních jednotek

Následující role Microsoft Entra je možné přiřadit v rozsahu jednotky pro správu. Kromě toho je možné přiřadit všechny vlastní role s oborem jednotek pro správu, pokud oprávnění vlastní role zahrnují alespoň jedno oprávnění relevantní pro uživatele, skupiny nebo zařízení.

Role	Popis
správce autentizace	Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro všechny uživatele bez oprávnění správce v přiřazené jednotce pro správu.
správce cloudových zařízení	Omezený přístup ke správě zařízení v Microsoft Entra ID.
správce skupin	Může spravovat všechny aspekty skupin pouze v přiřazené jednotce pro správu.
správce helpdesku	Hesla lze resetovat pouze pro ne-správce v přiřazené jednotce pro správu.
správce licencí	Může přiřazovat, odebírat a aktualizovat přiřazení licencí pouze v rámci jednotky pro správu.
správce hesel	Může resetovat hesla pro uživatele, kteří nejsou správci, pouze v přiřazené jednotce pro správu.
správce tiskárny	Může spravovat tiskárny a konektory tiskárny. Další informace naleznete v tématu Delegování správy tiskáren v univerzálním tisku.
Privilegovaný správce ověřování	Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce).
správce SharePointu	Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. U sharepointových webů přidružených ke skupinám Microsoftu 365 v jednotce pro správu můžete aktualizovat také vlastnosti webu (název webu, adresu URL a zásady externího sdílení) pomocí Centra pro správu Microsoftu 365. Ke správě webů nelze použít Centrum pro správu SharePointu nebo rozhraní API služby SharePoint.
správce Teams	Skupiny Microsoftu 365 můžete spravovat jenom v přiřazené jednotce pro správu. Může spravovat členy týmu v Centru pro správu Microsoftu 365 jenom pro týmy přidružené ke skupinám v přiřazené jednotce pro správu. Centrum pro správu Teams se nedá použít.
správce zařízení pro Teams	Může provádět úlohy související se správou na certifikovaných zařízeních Teams.
Uživatelský administrátor	Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel jenom pro omezené správce v rámci přiřazené jednotky pro správu. V současné době nelze spravovat profilové fotografie uživatelů.
<Vlastní role>	Může provádět akce, které se vztahují na uživatele, skupiny nebo zařízení podle definice vlastní role.

Určitá oprávnění role se vztahují pouze na uživatele, kteří nejsou správci, pokud jsou přiřazeni s oborem jednotky pro správu. Jinými slovy, jednotky pro správu vymezené správci helpdesku můžou resetovat hesla pro uživatele v jednotce pro správu jenom v případě, že tito uživatelé nemají role správce. Následující seznam oprávnění je omezený, pokud je cílem akce jiný správce:

Čtení a úpravy metod ověřování uživatelů nebo resetování uživatelských hesel
Úprava citlivých vlastností uživatelů, jako jsou telefonní čísla, alternativní e-mailové adresy nebo tajné klíče OAuth (Open Authorization)
Odstranění nebo obnovení uživatelských účtů

Objekty zabezpečení, které je možné přiřadit v rámci oboru jednotky správy

K roli s rozsahem správní jednotky lze přiřadit následující bezpečnostní principy:

Uživatelé
Skupiny s možností přiřazení rolí Microsoft Entra
Principálové služby

Principály služeb a uživatelé typu host

Instanční objekty a uživatelé typu host nebudou moct používat přiřazení role vymezené jednotce pro správu, pokud jim nebudou přiřazena odpovídající oprávnění ke čtení objektů. Důvodem je, že služby a uživatelé typu host ve výchozím nastavení nedostávají oprávnění ke čtení adresáře, což jsou oprávnění nutná k provádění administrativních akcí. Pokud chcete instančnímu objektu nebo uživateli typu host povolit použití přiřazení role vymezené na jednotku pro správu, musíte přiřadit roli Čtenáři adresáře (nebo jinou roli, která zahrnuje oprávnění ke čtení) v rámci tenanta.

V současné době není možné přiřadit k jednotce pro správu oprávnění ke čtení adresáře s vymezeným oborem. Další informace o výchozích oprávněních pro uživatele najdete v tématu výchozí uživatelská oprávnění.

Přiřazení rolí s rozsahem pro administrativní jednotky

Tato část popisuje, jak přiřadit role v rámci jednotky správy.

Přihlaste se do centra pro správu Microsoft Entra alespoň jako administrátor privilegovaných rolí.
Přejděte na Identity>Role & správci>jednotky pro správu.
Vyberte jednotku pro správu.
V levé navigační nabídce vyberte Role a správci pro zobrazení seznamu všech rolí, které jsou k dispozici pro přiřazení v rámci administrativní jednotky.
Vyberte požadovanou roli.

Spropitné

Tady neuvidíte celý seznam předdefinovaných nebo vlastních rolí Microsoft Entra. Očekává se to. Zobrazujeme role, které mají oprávnění související s objekty, které jsou podporovány v rámci jednotky pro správu. Pro zobrazení seznamu objektů podporovaných v jednotce pro správu viz Jednotky pro správu v Microsoft Entra ID.
Vyberte Přidat přiřazení a pak vyberte uživatele nebo skupiny, ke které chcete tuto roli přiřadit.
Vyberte Přidat a přiřaďte roli v rozsahu administrativní jednotky.

Pomocí následujícího postupu přiřaďte role Microsoft Entra v rozsahu administrační jednotky pomocí PowerShell.

Otevřete okno PowerShellu. V případě potřeby pomocí Install-Module nainstalujte Microsoft Graph PowerShell. Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.
```
Install-Module Microsoft.Graph -Scope CurrentUser
```

V okně PowerShellu se přihlaste ke svému tenantovi pomocí Connect-MgGraph.

Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"

K získání uživatele použijte Get-MgUser.

$user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"

Pomocí Get-MgRoleManagementDirectoryRoleDefinition získejte roli, kterou chcete přiřadit.

$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
   -Filter "displayName eq 'User Administrator'"

Pomocí Get-MgDirectoryAdministrativeUnit získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
$directoryScope = '/administrativeUnits/' + $adminUnit.Id

K přiřazení role použijte New-MgRoleManagementDirectoryRoleAssignment.

$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
   -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
   -RoleDefinitionId $roleDefinition.Id

Podle těchto pokynů přiřaďte roli v rozsahu správní jednotky pomocí rozhraní Microsoft Graph API v Graph Exploreru.

Přiřazení role pomocí rozhraní API Create unifiedRoleAssignment

Přihlaste se k Graph Exploreru.

K získání uživatele použijte Seznam uživatelů API.

GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'

K získání role, kterou chcete přiřadit, použijte rozhraní API List unifiedRoleDefinitions.

GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'

Pomocí rozhraní List administrativeUnits API získejte jednotku pro správu, na kterou má být přiřazení role vymezeno.
```
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
```
K přiřazení role použijte Create unifiedRoleAssignment API.
```
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<Object ID of user>",
    "roleDefinitionId": "<ID of role definition>",
    "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
}
```
Odpověď
```
HTTP/1.1 201 Created
```
Pokud tato role není podporovaná, odpověď je chybný požadavek.
```
HTTP/1.1 400 Bad Request
{
    "odata.error":
    {
        "code":"Request_BadRequest",
        "message":
        {
            "message":"The given built-in role is not supported to be assigned to a single resource scope."
        }
    }
}
```
Poznámka

V tomto příkladu je directoryScopeId zadán jako /administrativeUnits/<ID>místo /<ID>. Je to záměrně. Rozsah /administrativeUnits/<ID> znamená, že zabezpečující subjekt může spravovat členy správní jednotky (na základě role, kterou má přiřazen), nikoli správní jednotky jako takové. Rozsah /<ID> znamená, že hlavní subjekt může spravovat daný objekt Microsoft Entra sám. V části registrace aplikace vidíte, že obor je /<ID>, protože role vymezená registrací aplikace uděluje oprávnění ke správě samotného objektu.

Přiřazení role pomocí API Add a scopedRoleMember

Případně můžete použít API Add a scopedRoleMember k přiřazení role s oborem jednotky pro správu.

Prosba

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Tělo

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Sdílet prostřednictvím

Přiřaďte role Microsoft Entra

Role Microsoft Entra v Privilegovaném Spravování Identit (PIM)

Požadavky

Přiřazení rolí v rámci tenant

Přiřazení rolí v rámci oboru registrace aplikace

Přiřadit role v rámci správních jednotek

Požadavky

Role, které je možné přiřadit v rámci správních jednotek

Objekty zabezpečení, které je možné přiřadit v rámci oboru jednotky správy

Principály služeb a uživatelé typu host

Přiřazení rolí s rozsahem pro administrativní jednotky

Přiřazení role pomocí rozhraní API Create unifiedRoleAssignment

Přiřazení role pomocí API Add a scopedRoleMember

Další kroky

Váš názor

Další materiály