Erstellen einer benutzerdefinierten Rolle in der Microsoft Entra-ID

In diesem Artikel wird beschrieben, wie Sie mithilfe des Microsoft Entra Admin Centers, der Microsoft Graph PowerShell oder der Microsoft Graph-API eine benutzerdefinierte Rolle in Microsoft Entra ID erstellen.

Informationen zu den Grundlagen benutzerdefinierter Rollen finden Sie in der übersicht über benutzerdefinierte Rollen. Die Rolle kann entweder auf Verzeichnisebene oder nur auf Ebene einer App-Registrierungsressource zugewiesen werden. Informationen zur maximalen Anzahl von benutzerdefinierten Rollen, die in einer Microsoft Entra-Organisation erstellt werden können, finden Sie unter Microsoft Entra-Dienstbeschränkungen und -einschränkungen.

Voraussetzungen

• Microsoft Entra ID P1- oder P2-Lizenz
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell- oder Graph-Explorer-.

Admin-Zentrum

Erstellen einer benutzerdefinierten Rolle

In diesen Schritten wird beschrieben, wie Sie eine benutzerdefinierte Rolle im Microsoft Entra Admin Center erstellen, um App-Registrierungen zu verwalten.

1. Melden Sie sich mindestens als Administrator für privilegierte Rollen beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Identität>Rollen und Administratoren>Rollen und Administratoren.

3. Wählen Sie Neue benutzerdefinierte Rolleaus.

   

4. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für die Rolle an.

   Sie können die Grundberechtigungen einer benutzerdefinierten Rolle klonen, aber keine integrierte Rolle klonen.

   

5. Wählen Sie auf der Registerkarte Berechtigungen die erforderlichen Berechtigungen aus, um grundlegende Eigenschaften und Anmeldeinformationen von App-Registrierungen zu verwalten. Eine detaillierte Beschreibung der einzelnen Berechtigungen finden Sie unter Anwendungsregistrierungsuntertypen und -berechtigungen in Microsoft Entra ID.

   1. Geben Sie zunächst „Anmeldeinformationen“ in die Suchleiste ein, und wählen Sie die microsoft.directory/applications/credentials/update-Berechtigung aus.

      

   2. Dann geben Sie „grundlegend“ in die Suchleiste ein, wählen die microsoft.directory/applications/basic/update-Berechtigung aus, und klicken anschließend auf Weiter.

6. Überprüfen Sie die Berechtigungen auf der Registerkarte Überprüfen + Erstellen, und wählen Sie Erstellen aus.

   Ihre benutzerdefinierte Rolle wird in der Liste der verfügbaren Rollen angezeigt, die zugewiesen werden sollen.

PowerShell

Anmelden

Verwenden Sie den Befehl Connect-MgGraph, um sich bei Ihrem Mandanten anzumelden.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Erstellen einer benutzerdefinierten Rolle

Erstellen Sie eine neue Rolle mithilfe des folgenden PowerShell-Skripts:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Aktualisieren einer benutzerdefinierten Rolle

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Löschen einer benutzerdefinierten Rolle

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph-API

Erstellen einer benutzerdefinierten Rolle

Führen Sie die folgenden Schritte aus:

1. Verwenden Sie die Create unifiedRoleDefinition-API, um eine benutzerdefinierte Rolle zu erstellen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Körper

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Anmerkung

   Die "templateId": "GUID" ist ein optionaler Parameter, der je nach Anforderung im Textkörper gesendet wird. Wenn Sie mehrere unterschiedliche benutzerdefinierte Rollen mit gemeinsamen Parametern erstellen müssen, empfiehlt es sich, eine Vorlage zu erstellen und einen templateId Wert zu definieren. Sie können vorher einen templateId Wert generieren, indem Sie das PowerShell-Cmdlet (New-Guid).Guidverwenden.

2. Verwenden Sie die Create unifiedRoleAssignment API, um die benutzerdefinierte Rolle zuzuweisen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Körper

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Verwandte Inhalte

• Zuweisen von Microsoft Entra-Rollen
• Integrierte Microsoft Entra-Rollen
• Vergleich der Standardmäßigen Gast- und Mitgliedsberechtigungen