Creare ruoli personalizzati per gestire le app aziendali in Microsoft Entra ID

Questo articolo illustra come creare un ruolo personalizzato con autorizzazioni per gestire le assegnazioni di app aziendali per utenti e gruppi in Microsoft Entra ID. Per gli elementi delle assegnazioni di ruoli e il significato di termini quali sottotipo, autorizzazione e set di proprietà, vedere la panoramica dei ruoli personalizzati.

Prerequisiti

• Licenza Microsoft Entra ID P1 o P2
• Amministratore ruolo con privilegi
• modulo Microsoft Graph per PowerShell quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Autorizzazioni per il ruolo dell'app aziendale

In questo articolo sono illustrate due autorizzazioni per le app aziendali. Tutti gli esempi usano l'autorizzazione di aggiornamento.

• Per leggere le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Per gestire le assegnazioni di utenti e gruppi nell'ambito, concedere l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Concedendo l'autorizzazione di aggiornamento, l'assegnatario può gestire le assegnazioni di utenti e gruppi per le app aziendali. L'ambito delle assegnazioni di utenti e/o gruppi può essere concesso per una singola applicazione o concesso a tutte le applicazioni. Se concesso a livello di organizzazione, l'assegnatario può gestire le assegnazioni per tutte le applicazioni. Se effettuato a livello di applicazione, l'assegnatario può gestire le assegnazioni solo per l'applicazione specificata.

La concessione dell'autorizzazione di aggiornamento viene eseguita in due passaggi:

1. Creare un ruolo personalizzato con l'autorizzazione microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Concedere a utenti o gruppi le autorizzazioni per gestire le assegnazioni di utenti e gruppi per le app aziendali. In questa fase è possibile impostare l'ambito a livello di organizzazione o di singola applicazione.

Creare un nuovo ruolo personalizzato

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Nell'interfaccia di amministrazione di Microsoft Entra è possibile creare e gestire ruoli personalizzati per controllare l'accesso e le autorizzazioni per le app aziendali.

Nota

I ruoli personalizzati vengono creati e gestiti a livello di organizzazione e sono disponibili solo dalla pagina Panoramica dell'organizzazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.

3. Selezionare + Nuovo ruolo personalizzato.

   

4. Nella scheda Informazioni di base specificare "Gestisci assegnazioni di utenti e gruppi" per il nome del ruolo e "Concedi autorizzazioni per gestire le assegnazioni di utenti e gruppi" per la descrizione del ruolo, quindi selezionare Avanti.

   

5. Nella scheda Autorizzazioni immettere "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" nella casella di ricerca, selezionare le caselle di controllo accanto alle autorizzazioni desiderate, quindi selezionare Avanti.

   

6. Nella scheda Rivedi e crea rivedere le autorizzazioni e selezionare Crea.

   

Assegnare il ruolo a un utente usando l'interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

2. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.

3. Selezionare il ruolo Gestisci assegnazioni di utenti e gruppi.

   

4. Selezionare Aggiungi assegnazione, selezionare l'utente desiderato e quindi fare clic su Seleziona per aggiungere un'assegnazione di ruolo all'utente.

   

Suggerimenti per l'assegnazione

• Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso di gruppo per tutte le app aziendali a livello di organizzazione, iniziare dall'elenco Ruoli e amministratori a livello di organizzazione nella pagina Panoramica dell'ID di Accesso Microsoft per l'organizzazione.

• Per concedere le autorizzazioni agli assegnatari per gestire gli utenti e l'accesso di gruppo per un'app aziendale specifica, passare a tale app in MICROSOFT Entra ID e aprire nell'elenco Ruoli e amministratori per tale app. Selezionare il nuovo ruolo personalizzato e completare l'assegnazione di utenti o gruppi. Gli assegnatari possono gestire gli utenti e l'accesso ai gruppi solo per l'app specifica.

• Per testare l'assegnazione di ruolo personalizzata, accedere come assegnatario e aprire la pagina Utenti e gruppi di un'applicazione per verificare che l'opzione Aggiungi utente sia abilitata.

  

PowerShell

Per maggiori dettagli, vedere Creare un ruolo personalizzato in Microsoft Entra ID e Assegnare ruoli di Microsoft Entra.

Creare un ruolo personalizzato

Creare un nuovo ruolo con lo script PowerShell seguente:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Assegnare il ruolo personalizzato

Assegnare il ruolo usando questo script di PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph API

Usare l'API Create unifiedRoleDefinition per creare un ruolo personalizzato. Per ulteriori informazioni, vedi Crea un ruolo personalizzato in Microsoft Entra ID e Assegna i ruoli di Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Assegnare il ruolo personalizzato usando l'API Microsoft Graph

Usare l'API Create unifiedRoleAssignment per assegnare il ruolo personalizzato. L'assegnazione di ruolo combina un ID entità di sicurezza (che può essere un utente o un'entità servizio), un ID definizione del ruolo e un ambito della risorsa Microsoft Entra. Per altre informazioni sugli elementi di un'assegnazione di ruolo, vedere la panoramica dei ruoli personalizzati

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Passaggi successivi

• Esplorare le autorizzazioni dei ruoli personalizzate disponibili per le app aziendali