Upravit

Sdílet prostřednictvím


Vytvoření a přiřazení vlastní role v MICROSOFT Entra ID

Tento článek popisuje, jak vytvořit nové vlastní role v Microsoft Entra ID. Základní informace o vlastních rolích najdete v přehledu vlastních rolí. Roli je možné přiřadit buď v oboru na úrovni adresáře, nebo pouze v oboru prostředku registrace aplikace.

Vlastní role je možné vytvořit na stránce Role a správci centra pro správu Microsoft Entra.

Požadavky

  • Licence Microsoft Entra ID P1 nebo P2
  • Správce privilegovaných rolí
  • Modul Microsoft.Graph při použití PowerShellu
  • Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Vytvoření role v Centru pro správu Microsoft Entra

Vytvoření nové vlastní role pro udělení přístupu ke správě registrací aplikací

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte k rolím identit>a správcům>a správcům.

  3. Vyberte Možnost Nová vlastní role.

    Vytvoření nebo úprava rolí na stránce Role a správci

  4. Na kartě Základy zadejte název a popis role.

    Základní oprávnění můžete naklonovat z vlastní role, ale nemůžete klonovat předdefinované role.

    zadejte název a popis vlastní role na kartě Základy.

  5. Na kartě Oprávnění vyberte oprávnění potřebná ke správě základních vlastností a vlastností přihlašovacích údajů registrací aplikací. Podrobný popis jednotlivých oprávnění naleznete v části Podtypy a oprávnění registrace aplikace v Microsoft Entra ID.

    1. Nejprve na panelu hledání zadejte "credentials" (přihlašovací údaje) a vyberte microsoft.directory/applications/credentials/update oprávnění.

      Výběr oprávnění pro vlastní roli na kartě Oprávnění

    2. Dále na panelu hledání zadejte "basic", vyberte microsoft.directory/applications/basic/update oprávnění a potom klikněte na Tlačítko Další.

  6. Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.

    Vaše vlastní role se zobrazí v seznamu dostupných rolí, které chcete přiřadit.

Vytvoření role pomocí PowerShellu

Přihlásit se

Pomocí příkazu Connect-MgGraph se přihlaste ke svému tenantovi.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'user@contoso.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Vytvoření role pomocí rozhraní Microsoft Graph API

Postupujte následovně:

  1. K vytvoření vlastní role použijte rozhraní API Create unifiedRoleDefinition.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Text

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Poznámka:

    Jedná se "templateId": "GUID" o volitelný parametr, který se odešle v textu v závislosti na požadavku. Pokud potřebujete vytvořit více různých vlastních rolí s běžnými parametry, je nejlepší vytvořit šablonu a definovat templateId hodnotu. Hodnotu můžete předem vygenerovat templateId pomocí rutiny (New-Guid).GuidPowerShellu .

  2. K přiřazení vlastní role použijte rozhraní API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Text

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Přiřazení vlastní role s vymezeným prostředkem

Podobně jako předdefinované role se vlastní role ve výchozím nastavení přiřazují ve výchozím rozsahu pro celou organizaci, aby udělily přístupová oprávnění pro všechny registrace aplikací ve vaší organizaci. Kromě toho je možné vlastní role a některé relevantní předdefinované role (v závislosti na typu prostředku Microsoft Entra) přiřadit také v rozsahu jednoho prostředku Microsoft Entra. To umožňuje uživateli udělit oprávnění k aktualizaci přihlašovacích údajů a základních vlastností jedné aplikace, aniž byste museli vytvořit druhou vlastní roli.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

  2. Přejděte k aplikacím> identit>Registrace aplikací.

  3. Vyberte registraci aplikace, ke které udělujete přístup ke správě. Možná budete muset vybrat Všechny aplikace , abyste viděli úplný seznam registrací aplikací ve vaší organizaci Microsoft Entra.

    Výběr registrace aplikace jako rozsahu prostředků pro přiřazení role

  4. V registraci aplikace vyberte Role a správci. Pokud jste ho ještě nevytvořili, pokyny jsou uvedené v předchozím postupu.

  5. Výběrem role otevřete stránku Přiřazení .

  6. Vyberte Přidat přiřazení a přidejte uživatele. Uživateli se udělí všechna oprávnění jenom k registraci vybrané aplikace.