Creare ruoli personalizzati per gestire le app aziendali in Microsoft Entra ID
Questo articolo illustra come creare un ruolo personalizzato con autorizzazioni per gestire le assegnazioni di app aziendali per utenti e gruppi in Microsoft Entra ID. Per gli elementi delle assegnazioni di ruoli e il significato di termini quali sottotipo, autorizzazione e set di proprietà, vedere la panoramica dei ruoli personalizzati.
Prerequisiti
- Licenza Microsoft Entra ID P1 o P2
- Amministratore ruolo con privilegi
- Microsoft Graph PowerShell SDK installato quando si usa PowerShell
- Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph
Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.
Autorizzazioni per il ruolo dell'app aziendale
In questo articolo sono illustrate due autorizzazioni per le app aziendali. Tutti gli esempi usano l'autorizzazione di aggiornamento.
- Per leggere le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione
microsoft.directory/servicePrincipals/appRoleAssignedTo/read - Per gestire le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Concedendo l'autorizzazione di aggiornamento, l'assegnatario può gestire le assegnazioni di utenti e gruppi per le app aziendali. L'ambito delle assegnazioni di utenti e/o gruppi può essere concesso per una singola applicazione o concesso a tutte le applicazioni. Se concesso a livello di organizzazione, l'assegnatario può gestire le assegnazioni per tutte le applicazioni. Se effettuato a livello di applicazione, l'assegnatario può gestire le assegnazioni solo per l'applicazione specificata.
La concessione dell'autorizzazione di aggiornamento viene eseguita in due passaggi:
- Creare un ruolo personalizzato con l'autorizzazione
microsoft.directory/servicePrincipals/appRoleAssignedTo/update - Concedere a utenti o gruppi le autorizzazioni per gestire le assegnazioni di utenti e gruppi per le app aziendali. In questa fase è possibile impostare l'ambito a livello di organizzazione o di singola applicazione.
Interfaccia di amministrazione di Microsoft Entra
Creare un nuovo ruolo personalizzato
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Nell'interfaccia di amministrazione di Microsoft Entra è possibile creare e gestire ruoli personalizzati per controllare l'accesso e le autorizzazioni per le app aziendali.
Nota
I ruoli personalizzati vengono creati e gestiti a livello di organizzazione e sono disponibili solo dalla pagina Panoramica dell'organizzazione.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare + Nuovo ruolo personalizzato.
Nella scheda Informazioni di base specificare "Gestisci assegnazioni di utenti e gruppi" per il nome del ruolo e "Concedi autorizzazioni per gestire le assegnazioni di utenti e gruppi" per la descrizione del ruolo, quindi selezionare Avanti.
Nella scheda Autorizzazioni immettere "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" nella casella di ricerca, selezionare le caselle di controllo accanto alle autorizzazioni desiderate, quindi selezionare Avanti.
Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.
Assegnare il ruolo a un utente usando l'interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Selezionare il ruolo Gestisci assegnazioni di utenti e gruppi.
Selezionare Aggiungi assegnazione, selezionare l'utente desiderato e quindi fare clic su Seleziona per aggiungere un'assegnazione di ruolo all'utente.
Suggerimenti per l'assegnazione
Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso di gruppo per tutte le app aziendali a livello di organizzazione, iniziare dall'elenco Ruoli e amministratori a livello di organizzazione nella pagina Panoramica dell'ID di Accesso Microsoft per l'organizzazione.
Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso di gruppo per un'app aziendale specifica, passare a tale app in MICROSOFT Entra ID e aprire nell'elenco Ruoli e amministratori per tale app. Selezionare il nuovo ruolo personalizzato e completare l'assegnazione di utenti o gruppi. Gli assegnatari possono gestire gli utenti e l'accesso ai gruppi solo per l'app specifica.
Per testare l'assegnazione di ruolo personalizzata, accedere come assegnatario e aprire la pagina Utenti e gruppi di un'applicazione per verificare che l'opzione Aggiungi utente sia abilitata.
PowerShell
Per altri dettagli, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID e Assegnare ruoli personalizzati con ambito di risorsa tramite PowerShell.
Creare un ruolo personalizzato
Creare un nuovo ruolo con lo script PowerShell seguente:
# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
-DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled
Assegnare il ruolo personalizzato
Assegnare il ruolo usando questo script di PowerShell.
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"
# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
API di Microsoft Graph
Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato. Per altre informazioni, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID e Assegnare ruoli di amministratore personalizzati usando l'API Microsoft Graph.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
{
"description": "Can manage user and group assignments for Applications.",
"displayName": "Manage user and group assignments",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Assegnare il ruolo personalizzato usando l'API Microsoft Graph
Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione del ruolo e un ambito della risorsa Microsoft Entra. Per altre informazioni sugli elementi di un'assegnazione di ruolo, vedere la panoramica dei ruoli personalizzati
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}