Vytvoření vlastních rolí pro správu podnikových aplikací v Microsoft Entra ID

Tento článek vysvětluje, jak vytvořit vlastní roli s oprávněními ke správě přiřazení podnikových aplikací pro uživatele a skupiny v Microsoft Entra ID. Informace o prvcích přiřazení rolí a významu termínů, jako jsou podtyp, oprávnění a sada vlastností, najdete v přehledu vlastních rolí.

Požadavky

• Licence Microsoft Entra ID P1 nebo P2
• Správce privilegovaných rolí
• modul Microsoft Graph PowerShell při použití PowerShellu
• Souhlas správce při použití nástroje Graph explorer pro Microsoft Graph API

Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

Oprávnění role podnikové aplikace

V tomto článku jsou popsána dvě oprávnění podnikových aplikací. Všechny příklady používají oprávnění k aktualizaci.

• Pokud chcete číst přiřazení uživatelů a skupin v rozsahu, udělte oprávnění microsoft.directory/servicePrincipals/appRoleAssignedTo/read.
• Pokud chcete spravovat přiřazení uživatelů a skupin v rozsahu, udělte oprávnění microsoft.directory/servicePrincipals/appRoleAssignedTo/update.

Když uživateli udělíte oprávnění k aktualizaci, bude moct spravovat přiřazení uživatelů a skupin k podnikovým aplikacím. Rozsah přiřazení uživatelů nebo skupin je možné udělit pro jednu aplikaci nebo udělit všem aplikacím. Pokud je udělení provedeno na úrovni celé organizace, může pověřený uživatel spravovat přiřazení pro všechny aplikace. Pokud se provádí na úrovni aplikace, může přiřaditel spravovat přiřazení pouze pro zadanou aplikaci.

Udělení oprávnění k aktualizaci se provádí ve dvou krocích:

1. Vytvoření vlastní role s oprávněním microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Udělte uživatelům nebo skupinám oprávnění ke správě přiřazení uživatelů a skupin k podnikovým aplikacím. V tuto chvíli můžete nastavit rozsah na úroveň celé organizace, nebo na jednu aplikaci.

Centrum pro správu

Vytvoření nové vlastní role

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

V Centru pro správu Microsoft Entra můžete vytvářet a spravovat vlastní role pro řízení přístupu a oprávnění pro podnikové aplikace.

Poznámka:

Vlastní role se vytvářejí a spravují na úrovni celé organizace a jsou k dispozici jenom na stránce Přehled organizace.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

2. Přejděte k rolím identit>>

3. Vyberte Možnost Nová vlastní role.

   

4. Na kartě Základy zadejte "Spravovat přiřazení uživatelů a skupin" pro název role a "Udělit oprávnění ke správě přiřazení uživatelů a skupin" pro popis role a pak vyberte Další.

   

5. Na kartě Oprávnění zadejte do vyhledávacího pole "microsoft.directory/servicePrincipals/appRoleAssignedTo/update", zaškrtněte políčka vedle požadovaných oprávnění a pak vyberte Další.

   

6. Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.

   

Přiřazení role uživateli pomocí Centra pro správu Microsoft Entra

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

2. Přejděte k rolím identit>>

3. Vyberte roli Spravovat přiřazení uživatelů a skupin.

   

4. Vyberte Přidat přiřazení, vyberte požadovaného uživatele a potom kliknutím na tlačítko Vybrat přidejte přiřazení role uživateli.

   

Tipy pro zadání

• Pokud chcete udělit oprávnění ke správě přístupu uživatelů a skupin pro všechny podnikové aplikace pro celou organizaci, začněte v seznamu rolí a správců v celé organizaci na stránce Přehled ID Microsoft Entra ID pro vaši organizaci.

• Pokud chcete udělit oprávnění ke správě přístupu uživatelů a skupin pro konkrétní podnikovou aplikaci, přejděte do této aplikace v Microsoft Entra ID a otevřete ji v seznamu Role a Správci dané aplikace. Vyberte novou vlastní roli a dokončete přiřazení uživatele nebo skupiny. Přiřazovaní můžou spravovat uživatele a přístup ke skupinám jenom pro konkrétní aplikaci.

• Pokud chcete otestovat vlastní přiřazení role, přihlaste se jako přiřazený a otevřete stránku Uživatelé a skupiny aplikace a ověřte, že je povolená možnost Přidat uživatele.

  

PowerShell

Další podrobnosti najdete v tématu Vytvoření vlastní role v ID Microsoft Entra a přiřazení rolí Microsoft Entra .

Vytvoření vlastní role

Vytvořte novou roli pomocí následujícího skriptu PowerShellu:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Přiřazení vlastní role

Přiřaďte roli pomocí tohoto skriptu PowerShellu.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

rozhraní Graph API

K vytvoření vlastní role použijte rozhraní API Create unifiedRoleDefinition. Další informace viz Vytvoření vlastní role v Microsoft Entra ID a Přiřazení rolí v Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Přiřazení vlastní role pomocí rozhraní Microsoft Graph API

K přiřazení vlastní role použijte rozhraní API Create unifiedRoleAssignment. Přiřazení role kombinuje ID objektu zabezpečení (což může být uživatel nebo instanční objekt), ID definice role a obor prostředku Microsoft Entra. Další informace o prvech přiřazení role najdete v přehledu vlastních rolí.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Další kroky

• Prozkoumání dostupných vlastních oprávnění rolí pro podnikové aplikace