Creación de un rol personalizado en el identificador de Microsoft Entra

En este artículo se describe cómo crear un rol personalizado en microsoft Entra ID mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API.

Para conocer los conceptos básicos de los roles personalizados, consulte la introducción a los roles personalizados . El rol se puede asignar en el ámbito de nivel de directorio o en un ámbito de recurso del registro de aplicación únicamente. Para obtener información sobre el número máximo de roles personalizados que se pueden crear en una organización de Microsoft Entra, consulte límites y restricciones del servicio Microsoft Entra.

Prerrequisitos

• Licencia de Microsoft Entra ID P1 o P2
• Administrador de roles con privilegios
• Módulo de Microsoft Graph para PowerShell al usar PowerShell
• Consentimiento del administrador al usar el Explorador de Graph para Microsoft Graph API

Para obtener más información, consulte Requisitos previos para usar PowerShell o el Explorador de Graph.

Centro de administración

Creación de un rol personalizado

En estos pasos se describe cómo crear un rol personalizado en el Centro de administración de Microsoft Entra para administrar los registros de aplicaciones.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

2. Vaya a Identidad>Roles y administradores>Roles y administradores.

3. Seleccione Nuevo rol personalizado.

   

4. En la pestaña Aspectos básicos, proporcione un nombre y una descripción para el rol.

   Puede clonar los permisos de línea base de un rol personalizado, pero no puede clonar un rol integrado.

   

5. En la pestaña Permisos, seleccione los permisos necesarios para administrar las propiedades básicas y las propiedades de credenciales de los registros de aplicaciones. Para obtener una descripción detallada de cada permiso, consulte subtipos y permisos de registro de aplicaciones en Microsoft Entra ID.

   1. En primer lugar, escriba "credenciales" en la barra de búsqueda y seleccione el permiso microsoft.directory/applications/credentials/update.

      

   2. A continuación, escriba "básico" en la barra de búsqueda, seleccione el permiso microsoft.directory/applications/basic/update y, luego, haga clic en Siguiente.

6. En la pestaña Revisar y crear, revise los detalles y seleccione Crear.

   El rol personalizado se mostrará en la lista de roles disponibles que se van a asignar.

PowerShell

Iniciar sesión

Use el comando Connect-MgGraph para iniciar sesión en su inquilino.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Creación de un rol personalizado

Cree un rol con el siguiente script de PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Actualización de un rol personalizado

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Eliminación de un rol personalizado

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API

Creación de un rol personalizado

Siga estos pasos:

1. Use la API Create unifiedRoleDefinition para crear un rol personalizado.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Cuerpo

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Nota

   El "templateId": "GUID" es un parámetro opcional que se envía en el cuerpo del mensaje según el requisito. Si tiene un requisito para crear varios roles personalizados diferentes con parámetros comunes, es mejor crear una plantilla y definir un valor de templateId. Puede generar un valor de templateId de antemano mediante el cmdlet de PowerShell (New-Guid).Guid.

2. Use la API Create unifiedRoleAssignment para asignar el rol personalizado.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Cuerpo

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Contenido relacionado

• Asignación de roles de Microsoft Entra
• Roles integrados de Microsoft Entra
• Comparación de los permisos de usuario invitado y miembro predeterminados