Een aangepaste rol maken in Microsoft Entra-id

In dit artikel wordt beschreven hoe u een aangepaste rol maakt in Microsoft Entra-id met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of Microsoft Graph API.

Voor de basisbeginselen van aangepaste rollen, zie het overzicht van aangepaste rollen. De rol kan alleen worden toegewezen op het niveau van de directory of alleen op het niveau van de resource voor app-registratie. Zie Microsoft Entra-servicelimieten en -beperkingenvoor meer informatie over het maximum aantal aangepaste rollen dat kan worden gemaakt in een Microsoft Entra-organisatie.

Voorwaarden

• Licentie voor Microsoft Entra ID P1 of P2
• Beheerder van bevoorrechte rol
• Microsoft Graph PowerShell-module bij het gebruik van PowerShell
• Beheerderstoestemming bij het gebruik van Graph Explorer voor Microsoft Graph API

Zie Vereisten voor het gebruik van PowerShell of Graph Explorervoor meer informatie.

beheercentrum

Een aangepaste rol maken

In deze stappen wordt beschreven hoe u een aangepaste rol maakt in het Microsoft Entra-beheercentrum voor het beheren van app-registraties.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een bevoorrechte rolbeheerder.

2. Blader naar Identiteit>Rollen & beheerders>Rollen & beheerders.

3. Selecteer Nieuwe aangepaste rol.

   

4. Geef op het tabblad Basisinformatie een naam en beschrijving op voor de rol.

   U kunt de basislijnmachtigingen van een aangepaste rol klonen, maar u kunt geen ingebouwde rol klonen.

   

5. Selecteer op het tabblad Machtigingen de machtigingen die nodig zijn om basiseigenschappen en referentie-eigenschappen van app-registraties te beheren. Zie Subtypen en machtigingen voor toepassingsregistratie in Microsoft Entra IDvoor een gedetailleerde beschrijving van elke machtiging.

   1. Voer eerst inloggegevens in de zoekbalk in en selecteer de machtiging microsoft.directory/applications/credentials/update.

      

   2. Voer vervolgens Basic in de zoekbalk in, selecteer de machtiging microsoft.directory/applications/basic/update en klik vervolgens op Volgende.

6. Op het tabblad Controleren + maken, controleer de machtigingen en selecteer maken.

   Uw aangepaste rol wordt weergegeven in de lijst met beschikbare rollen die u wilt toewijzen.

PowerShell

Aanmelden

Gebruik de opdracht Connect-MgGraph om u aan te melden bij uw tenant.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Een aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Een aangepaste rol bijwerken

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Een aangepaste rol verwijderen

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API-

Een aangepaste rol maken

Volg deze stappen:

1. Gebruik de CreateUnifiedRoleDefinition API om een aangepaste rol te maken.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Lichaam

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Notitie

   De "templateId": "GUID" is een optionele parameter die in de hoofdtekst wordt verzonden, afhankelijk van de vereiste. Als u meerdere verschillende aangepaste rollen met algemene parameters wilt maken, kunt u het beste een sjabloon maken en een templateId waarde definiëren. U kunt vooraf een templateId waarde genereren met behulp van de PowerShell-cmdlet (New-Guid).Guid.

2. Gebruik de UnifiedRoleAssignment API maken om de aangepaste rol toe te wijzen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Lichaam

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Verwante inhoud

• Microsoft Entra-rollen toewijzen
• Ingebouwde Rollen van Microsoft Entra
• Vergelijking van standaardmachtigingen voor gast- en lidgebruikers