Zuweisen von Microsoft Entra-Rollen

In diesem Artikel wird beschrieben, wie Sie Benutzern und Gruppen Mithilfe des Microsoft Entra Admin Centers, Microsoft Graph PowerShell oder der Microsoft Graph-API Microsoft Entra Rollen zuweisen. Außerdem wird beschrieben, wie Rollen in verschiedenen Bereichen zugewiesen werden, wie z. B. in den Bereichen Mandant, Anwendungsregistrierung und Verwaltungseinheit.

Sie können einem Benutzer direkte und indirekte Rollenzuweisungen zuweisen. Wenn einem Benutzer eine Rolle durch eine Gruppenmitgliedschaft zugewiesen wird, fügen Sie den Benutzer der Gruppe hinzu, um die Rollenzuweisung hinzuzufügen. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen.

In der Microsoft Entra-ID werden Rollen in der Regel zugewiesen, die auf den gesamten Mandanten angewendet werden. Sie können jedoch auch Microsoft Entra-Rollen für verschiedene Ressourcen zuweisen, z. B. Anwendungsregistrierungen oder administrative Einheiten. Sie können beispielsweise die Rolle des Helpdesk-Administrators so zuweisen, dass sie nur für eine bestimmte Verwaltungseinheit gilt und nicht für den gesamten Mandanten. Die Ressourcen, für die eine Rollenzuweisung gilt, werden auch als Bereich bezeichnet. Das Einschränken des Umfangs einer Rollenzuweisung wird für integrierte und benutzerdefinierte Rollen unterstützt. Weitere Informationen zum Bereich finden Sie unter Übersicht über die rollenbasierte Zugriffssteuerung (RBAC) in Microsoft Entra ID.

Microsoft Entra-Rollen in PIM

Wenn Sie über eine Microsoft Entra ID P2-Lizenz und Privileged Identity Management (PIM)-verfügen, haben Sie beim Zuweisen von Rollen zusätzliche Möglichkeiten, wie z. B. einen Benutzer für eine Rollenzuweisung bereitzustellen oder die Start- und Endzeit für eine Rollenzuweisung festzulegen. Informationen zum Zuweisen von Microsoft Entra-Rollen in PIM finden Sie in den folgenden Artikeln:

Methode	Informationen
Microsoft Entra Verwaltungszentrum	Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management
Microsoft Graph PowerShell	Tutorial: Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management mithilfe von Microsoft Graph PowerShell
Microsoft Graph-API	Verwalten von Microsoft Entra-Rollenzuweisungen mithilfe von PIM-APIs Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management

Voraussetzungen

• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell Modul bei der Verwendung von PowerShell
• Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph Explorer.

Zuweisen von Rollen mit Mandantenbereich

In diesem Abschnitt wird beschrieben, wie Rollen auf Mandantenebene zugewiesen werden.

Admin Center

Tipp

Die Schritte in diesem Artikel können je nach Dem Portal, von dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin-Center als mindestens ein Privilegierter Rollenadministratoran.

2. Navigieren Sie zu Identitäts->Rollen & Administratoren>Rollen & Administratoren.

   

3. Wählen Sie einen Rollennamen aus, um die Rolle zu öffnen. Fügen Sie kein Häkchen neben der Rolle hinzu.

   

4. Wählen Sie "Aufgaben hinzufügen" und wählen Sie dann die Benutzer oder Gruppen aus, die Sie dieser Rolle zuweisen möchten.

   Es werden nur rollenzuweisbare Gruppen angezeigt. Wenn eine Gruppe nicht aufgeführt ist, müssen Sie eine rollenzuweisungsfähige Gruppe erstellen. Weitere Informationen finden Sie unter Erstellen einer Gruppe, der Rollen zugewiesen werden können, in Microsoft Entra ID.

   Wenn Sich Ihre Erfahrung von dem folgenden Screenshot unterscheidet, verfügen Sie möglicherweise über Microsoft Entra ID P2 und PIM. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management.

   

5. Wählen Sie Hinzufügen aus, um die Rolle zuzuweisen.

PowerShell

Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen mithilfe von PowerShell zuzuweisen.

1. Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module-, um Microsoft Graph PowerShell zu installieren. Weitere Informationen finden Sie in Voraussetzungen für die Verwendung von PowerShell oder Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Verwenden Sie in einem PowerShell-Fenster Connect-MgGraph, um sich bei Ihrem Mandanten zu anmelden.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Verwenden Sie Get-MgUser, um den Benutzer abzurufen.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Verwenden Sie Get-MgGroup-, um die rollenzuweisungsfähige Gruppe abzurufen.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition, um die Rolle abzurufen, die Sie zuweisen möchten.

   Eine Liste der Rollendefinitions-IDs für alle integrierten Rollen finden Sie unter integrierten Microsoft Entra-Rollen.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Legen Sie den Mandanten als Bereich der Rollenzuweisung fest.

   $directoryScope = '/'
   

6. Verwenden Sie New-MgRoleManagementDirectoryRoleAssignment, um die Rolle zuzuweisen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Hier ist eine weitere Möglichkeit, eine Rolle zuzuweisen.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph-API

Folgen Sie diesen Anweisungen, um eine Rolle mithilfe der Microsoft Graph API in Graph Explorerzuzuweisen.

1. Melden Sie sich bei Graph-Explorer an.

2. Verwenden Sie die API Benutzer auflisten, um den Benutzer abzurufen.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Verwenden Sie Listengruppen API, um die rollenzuweisungsfähige Gruppe abzurufen.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Verwenden Sie die API unifiedRoleDefinitions auflisten, um die Rolle abzurufen, die Sie zuweisen möchten.

   Eine Liste der Rollendefinitions-IDs für alle integrierten Rollen finden Sie unter integrierten Microsoft Entra-Rollen.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Verwenden Sie die API Create unifiedRoleAssignment, um die Rolle zuzuweisen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Wenn die Prinzipal- oder Rollendefinition nicht vorhanden ist, wird die Antwort nicht gefunden.

   Antwort

   HTTP/1.1 404 Not Found
   

Zuweisen von Rollen mit App-Registrierungsbereich

Integrierte Rollen und benutzerdefinierte Rollen werden standardmäßig auf Mandantenebene zugewiesen, um Zugriffsberechtigungen für alle App-Registrierungen in Ihrer Organisation zu gewähren. Darüber hinaus können benutzerdefinierte Rollen und einige relevante integrierte Rollen (abhängig vom Typ der Microsoft Entra-Ressource) auch auf der Ebene einer einzelnen Microsoft Entra-Ressource zugewiesen werden. Auf diese Weise können Sie dem Benutzer die Berechtigung zum Aktualisieren von Anmeldeinformationen und grundlegenden Eigenschaften einer einzelnen App erteilen, ohne eine zweite benutzerdefinierte Rolle erstellen zu müssen.

In diesem Abschnitt wird beschrieben, wie Sie Rollen im Registrierungsbereich der Anwendung zuweisen.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.

2. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

3. Wählen Sie eine Anwendung aus. Sie können das Suchfeld verwenden, um die gewünschte App zu finden.

   Möglicherweise müssen Sie Alle Anwendungen auswählen, um die vollständige Liste der App-Registrierungen in Ihrem Mandanten anzuzeigen.

   

4. Wählen Sie im linken Navigationsmenü Rollen und Administratoren aus, um die Liste aller Rollen anzuzeigen, die über die App-Registrierung zugewiesen werden können.

   

5. Wählen Sie die gewünschte Rolle aus.

   Tipp

   Hier wird die gesamte Liste der integrierten oder benutzerdefinierten Rollen von Microsoft Entra nicht angezeigt. Dies wird erwartet. Es werden nur die Rollen angezeigt, die über Berechtigungen zum Verwalten von App-Registrierungen verfügen.

6. Wählen Sie "Zuordnungen hinzufügen" und dann die Benutzer oder Gruppen aus, denen Sie diese Rolle zuweisen möchten.

   

7. Wählen Sie Hinzufügen aus, um die Rolle im Bereich der App-Registrierung zuzuweisen.

PowerShell

Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen mithilfe von PowerShell auf Anwendungsebene zuzuweisen.

1. Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module-, um Microsoft Graph PowerShell zu installieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Verwenden Sie in einem PowerShell-Fenster Connect-MgGraph, um sich bei Ihrem Mandanten zu anmelden.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Verwenden Sie Get-MgUser, um den Benutzer abzurufen.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Um die Rolle einem Dienstprinzipal anstelle eines Benutzers zuzuweisen, verwenden Sie den Befehl Get-MgServicePrincipal.

4. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition, um die Rolle abzurufen, die Sie zuweisen möchten.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Verwenden Sie Get-MgApplication, um die App-Registrierung abzurufen, auf die die Rollenzuweisung angewendet werden soll.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Verwenden Sie New-MgRoleManagementDirectoryRoleAssignment, um die Rolle zuzuweisen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph-API

Befolgen Sie diese Anweisungen, um eine Rolle mithilfe der Microsoft Graph-API im Graph-Explorer im Bereich einer Anwendung zuzuweisen.

1. Melden Sie sich bei Graph-Explorer an.

2. Verwenden Sie die API Benutzer auflisten, um den Benutzer abzurufen.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Verwenden Sie die API unifiedRoleDefinitions auflisten, um die Rolle abzurufen, die Sie zuweisen möchten.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Verwenden Sie die Listenanwendungen-API, um die Anwendung abzurufen, auf die die Rollenzuweisung eingegrenzt werden soll.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Verwenden Sie die API Create unifiedRoleAssignment, um die Rolle zuzuweisen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Antwort

   HTTP/1.1 201 Created
   

   Anmerkung

   In diesem Beispiel wird directoryScopeId im Gegensatz zum Abschnitt "Administrative Einheit" als /<ID>angegeben. Dies ist beabsichtigt. Der Bereich von /<ID> bedeutet, dass der Prinzipal das Microsoft Entra-Objekt verwalten kann. Der Bereich /administrativeUnits/<ID> bedeutet, dass der Prinzipal die Mitglieder der verwaltungstechnischen Einheit verwalten kann (basierend auf der Rolle, der der Prinzipal zugewiesen ist), nicht die verwaltungstechnische Einheit selbst.

Zuweisen von Rollen mit Verwaltungseinheitsbereich

Sie können in Microsoft Entra ID eine Microsoft Entra-Rolle mit einem Geltungsbereich zuweisen, der auf eine oder mehrere administrative Einheitenbeschränkt ist. Wenn eine Microsoft Entra-Rolle im Bereich einer Verwaltungseinheit zugewiesen wird, gelten die Rollenberechtigungen nur für die Verwaltung von Mitgliedern der Verwaltungseinheit selbst und nicht für mandantenweite Einstellungen oder Konfigurationen.

Beispielsweise kann ein Administrator, dem die Rolle "Gruppenadministrator" im Bereich einer Verwaltungseinheit zugewiesen ist, Gruppen verwalten, die Mitglieder der Verwaltungseinheit sind, aber keine anderen Gruppen im Mandanten verwalten. Sie können ebenfalls keine Einstellungen auf Mandantenebene verwalten, die sich auf Gruppen beziehen, wie z. B. Ablauf- oder Gruppenbenennungsrichtlinien.

In diesem Abschnitt wird beschrieben, wie Sie Microsoft Entra-Rollen im Bereich administrativer Einheiten zuweisen.

Voraussetzungen

• Microsoft Entra ID P1- oder P2-Lizenz für alle Administrator*innen der Verwaltungseinheit
• Kostenlose Microsoft Entra ID-Lizenzen für Mitglieder der Verwaltungseinheit
• Administrator für privilegierte Rollen
• Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
• Administratorzustimmung bei Verwendung des Graph-Explorers für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph Explorer.

Rollen, die mit dem Bereich der Verwaltungseinheit zugewiesen werden können

Die folgenden Microsoft Entra-Rollen können mit einem Bereich der Verwaltungseinheit zugewiesen werden. Darüber hinaus können benutzerdefinierte Rollen mit einem Bereich der Verwaltungseinheit zugewiesen werden, solange die Berechtigungen der benutzerdefinierten Rolle mindestens eine Berechtigung umfassen, die für Benutzer, Gruppen oder Geräte relevant ist.

Rolle	Beschreibung
Authentifizierungsadministrator	Hat nur in der zugewiesenen Verwaltungseinheit Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zur Authentifizierungsmethode für alle Benutzer ohne Administratorrechte.
Cloudgeräteadministrator	Eingeschränkter Zugriff auf die Verwaltung von Geräten in der Microsoft Entra-ID.
Gruppenadministrator	Kann alle Aspekte von Gruppen nur in der zugewiesenen Verwaltungseinheit verwalten.
Helpdesk-Administrator	Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen.
Lizenzadministrator	Kann nur in der Verwaltungseinheit Lizenzzuweisungen vornehmen, entfernen und aktualisieren.
Passwortadministrator	Kann nur in der zugewiesenen Verwaltungseinheit Kennwörter für Nicht-Administratoren zurücksetzen.
Druckeradministrator	Kann Drucker und Druckeranschlüsse verwalten. Weitere Informationen finden Sie unter Delegieren der Verwaltung von Druckern in Universal Print.
Privilegierter Authentifizierungsadministrator	Kann für jeden Benutzer (Administrator oder Nicht-Administrator) auf Informationen zur Authentifizierungsmethode zugreifen, diese festlegen und zurücksetzen.
SharePoint-Administrator	Kann Microsoft 365-Gruppen nur in der zugewiesenen administrativen Einheit verwalten. Für SharePoint-Websites, die einer Microsoft 365-Gruppe in einer Verwaltungseinheit zugeordnet sind, können Sie die Websiteeigenschaften (Websitename, URL und externe Freigaberichtlinie) auch über das Microsoft 365 Admin Center aktualisieren. Das SharePoint Admin Center oder SharePoint-APIs können nicht zum Verwalten von Websites verwendet werden.
Teams-Administrator	Kann Microsoft 365-Gruppen nur in der zugewiesenen administrativen Einheit verwalten. Kann Teammitglieder im Microsoft 365 Admin Center nur für Teams verwalten, die Gruppen in der zugewiesenen Verwaltungseinheit zugeordnet sind. Das Teams Admin Center kann nicht verwendet werden.
Teams-Geräteadministrator	Kann verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten ausführen.
Benutzeradministrator	Kann nur in der zugewiesenen Verwaltungseinheit alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für Administratoren mit eingeschränkten Berechtigungen. Die Profilfotos von Benutzern können derzeit nicht verwaltet werden.
<Benutzerdefinierte Rolle>	Kann Aktionen ausführen, die für Benutzer, Gruppen oder Geräte gemäß der Definition der benutzerdefinierten Rolle gelten.

Bestimmte Rollenberechtigungen gelten nur für Nichtadministratorbenutzer, wenn sie dem Bereich einer administrativen Einheit zugewiesen sind. Anders ausgedrückt: Helpdeskadministratoren im Bereich der Verwaltungseinheit können Kennwörter für Benutzer und Benutzerinnen in der Verwaltungseinheit nur zurücksetzen, wenn diese nicht über Administratorrollen verfügen. Die folgende Liste der Berechtigungen ist eingeschränkt, wenn das Ziel einer Aktion ein anderer Administrator ist:

• Lesen und Ändern von Benutzerauthentifizierungsmethoden oder Zurücksetzen von Benutzerwörtern
• Ändern vertraulicher Benutzereigenschaften wie Telefonnummern, alternative E-Mail-Adressen oder OAuth-Schlüssel (Open Authorization)
• Löschen oder Wiederherstellen von Benutzerkonten

Sicherheitsprinzipale, die im Bereich der Verwaltungseinheit zugewiesen werden können

Die folgenden Sicherheitsprinzipale können einer Rolle im Bereich von Verwaltungseinheiten zugewiesen werden:

• Benutzer
• Microsoft Entra-Gruppen, denen Rollen zugewiesen werden können
• Dienstprinzipale

Dienstprinzipale und Gastbenutzer

Dienstprinzipale und Gastbenutzer/-benutzerinnen können eine Rollenzuweisung, die auf eine Verwaltungseinheit beschränkt ist, nur dann verwenden, wenn ihnen auch die entsprechenden Berechtigungen zum Lesen der Objekte zugewiesen wurden. Dies liegt daran, dass Dienstprinzipale und Gastbenutzer standardmäßig keine Verzeichnisleseberechtigungen erhalten, die zum Ausführen von Administrativen Aktionen erforderlich sind. Damit ein Dienstprinzipal oder ein Gastbenutzer eine Rollenzuweisung mit dem Geltungsbereich einer Verwaltungseinheit verwenden kann, müssen Sie die Rolle Verzeichnisleser (oder eine andere Rolle mit Leserechten) mit dem Geltungsbereich eines Mandanten zuweisen.

Es ist derzeit nicht möglich, einer Verwaltungseinheit Leseberechtigungen für Verzeichnisse zu erteilen. Weitere Informationen zu Standardberechtigungen für Benutzer finden Sie unter Standardbenutzerberechtigungen.

Zuweisen von Rollen mit Verwaltungseinheitsbereich

In diesem Abschnitt wird beschrieben, wie Sie Rollen auf der Ebene administrativer Einheiten zuweisen.

Admin-Zentrum

1. Melden Sie sich beim Microsoft Entra Admin-Center als mindestens ein Privilegierter Rollenadministratoran.

2. Navigieren Sie zu Identität>Rollen & Administratoren>Administratoreinheiten.

3. Wählen Sie eine administrative Einheit aus.

   

4. Wählen Sie im linken Navigationsmenü Rollen und Administratoren aus, um die Liste aller Rollen anzuzeigen, die über eine Verwaltungseinheit zugewiesen werden können.

   

5. Wählen Sie die gewünschte Rolle aus.

   Tipp

   Hier wird die gesamte Liste der integrierten oder benutzerdefinierten Rollen von Microsoft Entra nicht angezeigt. Dies wird erwartet. Es werden die Rollen angezeigt, die über Berechtigungen im Zusammenhang mit den Objekten verfügen, die innerhalb der Verwaltungseinheit unterstützt werden. Eine Liste der Objekte, die in einer administrativen Einheit unterstützt werden, finden Sie unter Administrative Einheiten in Microsoft Entra ID.

6. Wählen Sie "Zuordnungen hinzufügen" und dann die Benutzer oder Gruppen aus, denen Sie diese Rolle zuweisen möchten.

7. Wählen Sie Hinzufügen aus, um die Rolle im Bereich der Verwaltungseinheit zuzuweisen.

PowerShell

Führen Sie die folgenden Schritte aus, um Microsoft Entra-Rollen mithilfe von PowerShell im Bereich einer Verwaltungseinheit zuzuweisen.

1. Öffnen Sie ein PowerShell-Fenster. Verwenden Sie bei Bedarf Install-Module-, um Microsoft Graph PowerShell zu installieren. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell und Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Verwenden Sie in einem PowerShell-Fenster Connect-MgGraph, um sich bei Ihrem Mandanten zu anmelden.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Verwenden Sie Get-MgUser, um den Benutzer abzurufen.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Verwenden Sie Get-MgRoleManagementDirectoryRoleDefinition, um die Rolle abzurufen, die Sie zuweisen möchten.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Verwenden Sie Get-MgDirectoryAdministrativeUnit, um die administrative Einheit abzurufen, auf die die Rollenzuweisung ausgerichtet werden soll.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Verwenden Sie New-MgRoleManagementDirectoryRoleAssignment, um die Rolle zuzuweisen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph-API

Befolgen Sie diese Anweisungen, um eine Rolle mithilfe der Microsoft Graph-API im Graph-Explorer im Bereich einer Verwaltungseinheit zuzuweisen.

Zuweisen einer Rolle mithilfe der Create unifiedRoleAssignment-API

1. Melden Sie sich bei Graph-Explorer an.

2. Verwenden Sie die API Benutzer auflisten, um den Benutzer abzurufen.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Verwenden Sie die API unifiedRoleDefinitions auflisten, um die Rolle abzurufen, die Sie zuweisen möchten.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Verwenden Sie die API administrativeUnits auflisten, um die Verwaltungseinheit abzurufen, die als Bereich für die Rollenzuweisung verwendet werden soll.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Verwenden Sie die API Create unifiedRoleAssignment, um die Rolle zuzuweisen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Antwort

   HTTP/1.1 201 Created
   

   Wenn die Rolle nicht unterstützt wird, ist die Antwort eine ungültige Anfrage.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Anmerkung

   In diesem Beispiel wird directoryScopeId als /administrativeUnits/<ID>anstelle von /<ID>angegeben. Dies ist beabsichtigt. Der Bereich /administrativeUnits/<ID> bedeutet, dass der Verwalter die Mitglieder der verwaltungstechnischen Einheit verwalten kann (basierend auf der Rolle, die dem Verwalter zugewiesen ist), nicht jedoch die verwaltungstechnische Einheit selbst. Der Umfang von /<ID> bedeutet, dass der Prinzipal das Microsoft Entra-Objekt selbst verwalten kann. Im Abschnitt "App-Registrierung" sehen Sie, dass der Umfang /<ID> ist, da eine Rolle, die sich speziell auf eine App-Registrierung bezieht, die Berechtigung zum Verwalten des Objekts selbst gewährt.

Rolle mit der API 'scopedRoleMember' hinzufügen

Alternativ können Sie die Add a scopedRoleMember API verwenden, um eine Rolle mit administrativem Einheitsbereich zuzuweisen.

Anfrage

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Körper

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Nächste Schritte

• Auflisten von Microsoft Entra-Rollenzuweisungen
• Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management
• Verwenden Sie Microsoft Entra-Gruppen, um Rollenzuweisungen zu verwalten
• Problembehandlung für Microsoft Entra-Rollen, die Gruppen zugewiesen sind