Vytvoření vlastní role v Microsoft Entra ID

Tento článek popisuje, jak vytvořit vlastní roli v MICROSOFT Entra ID pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API.

Základní informace o vlastních rolích najdete v přehledu vlastních rolí. Roli je možné přiřadit buď v oboru na úrovni adresáře, nebo pouze v oboru prostředku registrace aplikace. Informace o maximálním počtu vlastních rolí, které lze vytvořit v organizaci Microsoft Entra, naleznete v tématu limity a omezení služby Microsoft Entra.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2
• Správce privilegovaných rolí
• modul Microsoft Graph PowerShell při použití PowerShellu
• Souhlas správce při používání Graph Exploreru pro rozhraní Microsoft Graph API

Další informace najdete v tématu Předpoklady pro použití PowerShellu nebo Graph Exploreru.

Centrum pro správu

Vytvoření vlastní role

Tento postup popisuje, jak vytvořit vlastní roli v Centru pro správu Microsoft Entra pro správu registrace aplikací.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce privilegovaných rolí.

2. Přejděte na Identity>Role & správci>Role & správci.

3. Vyberte Nová vlastní role.

   

4. Na kartě Základy zadejte název a popis role.

   Základní oprávnění můžete naklonovat z vlastní role, ale nemůžete klonovat předdefinované role.

   

5. Na kartě Oprávnění vyberte oprávnění potřebná ke správě základních vlastností a vlastností přihlašovacích údajů registrací aplikací. Podrobný popis jednotlivých oprávnění naleznete v části Podtypy a oprávnění registrace aplikace v Microsoft Entra ID.

   1. Nejprve do vyhledávacího panelu zadejte "credentials" (přihlašovací údaje) a vyberte oprávnění microsoft.directory/applications/credentials/update.

      

   2. Dále na panelu hledání zadejte "basic", vyberte oprávnění microsoft.directory/applications/basic/update a potom klikněte na Další.

6. Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.

   Vaše vlastní role se zobrazí v seznamu dostupných rolí, které chcete přiřadit.

PowerShell

Přihlásit se

Přihlaste se ke svému tenantovi pomocí příkazu Connect-MgGraph.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Vytvoření vlastní role

Vytvořte novou roli pomocí následujícího skriptu PowerShellu:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Aktualizace vlastní role

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Odstranění vlastní role

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

rozhraní Graph API

Vytvoření vlastní role

Postupujte takto:

1. K vytvoření vlastní role použijte rozhraní Create unifiedRoleDefinition API.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Tělo

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Poznámka

   "templateId": "GUID" je volitelný parametr, který se odešle v textu v závislosti na požadavku. Pokud potřebujete vytvořit více různých vlastních rolí s běžnými parametry, je nejlepší vytvořit šablonu a definovat templateId hodnotu. Hodnotu templateId můžete předem vygenerovat pomocí rutiny PowerShellu (New-Guid).Guid.

2. K přiřazení vlastní role použijte rozhraní Create unifiedRoleAssignment API.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Tělo

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Související obsah

• Přiřazení rolí Microsoft Entra
• předdefinované role Microsoft Entra
• Porovnání výchozích uživatelských oprávnění hostů a členů