Aangepaste rollen maken voor het beheren van zakelijke apps in Microsoft Entra-id

In dit artikel wordt uitgelegd hoe u een aangepaste rol maakt met machtigingen voor het beheren van zakelijke app-toewijzingen voor gebruikers en groepen in Microsoft Entra-id. Zie het overzicht van aangepaste rollen voor de elementen van roltoewijzingen en de betekenis van termen zoals subtype, machtiging en eigenschappenset.

Vereisten

• Licentie voor Microsoft Entra ID P1 of P2
• Beheerder voor bevoorrechte rollen
• Microsoft Graph PowerShell-module bij het gebruik van PowerShell
• U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API

Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

Roltoestemmingen voor bedrijfs-apps

In dit artikel worden twee machtigingen voor bedrijfs-apps besproken. In alle voorbeelden wordt de updatemachtiging gebruikt.

• Als u de gebruikers- en groepstoewijzingen binnen het bereik wilt lezen, verleent u de machtiging microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Als u de gebruikers- en groepstoewijzingen binnen het bereik wilt beheren, verleent u de machtiging microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Het verlenen van de updatemachtiging resulteert in het beheren van toewijzingen van gebruikers en groepen aan bedrijfs-apps. Het bereik van gebruikers- en/of groepstoewijzingen kan worden verleend voor één toepassing of worden verleend voor alle toepassingen. Als deze worden verleend op organisatieniveau, kan de toegewezen gebruiker toewijzingen voor alle toepassingen beheren. Als deze is gemaakt op toepassingsniveau, kan de toegewezen gebruiker alleen toewijzingen voor de opgegeven toepassing beheren.

Het verlenen van de updatemachtiging wordt in twee stappen uitgevoerd:

1. Een aangepaste rol maken met machtiging microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Gebruikers of groepen machtigingen verlenen voor het beheren van gebruikers- en groepstoewijzingen aan bedrijfs-apps. Dit is wanneer u het bereik kunt instellen op het niveau van de hele organisatie of op één toepassing.

beheercentrum

Een nieuwe aangepaste rol maken

In het Microsoft Entra-beheercentrum kunt u aangepaste rollen maken en beheren om de toegang en machtigingen voor bedrijfsapps te beheren.

Notitie

Aangepaste rollen worden gemaakt en beheerd op organisatieniveau en zijn alleen beschikbaar op de overzichtspagina van de organisatie.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

3. Selecteer Nieuwe aangepaste rol.

   

4. Geef op het tabblad Basisinformatie 'Gebruikers- en groepstoewijzingen beheren' op voor de naam van de rol en 'Machtigingen verlenen voor het beheren van gebruikers- en groepstoewijzingen' voor de rolbeschrijving en selecteer Vervolgens.

   

5. Voer op het tabblad Machtigingen 'microsoft.directory/servicePrincipals/appRoleAssignedTo/update' in het zoekvak in, schakel de selectievakjes naast de gewenste machtigingen in en selecteer vervolgens Volgende.

   

6. Controleer op het tabblad Beoordelen en maken de machtigingen en selecteer Maken.

   

De rol toewijzen aan een gebruiker met behulp van het Microsoft Entra-beheercentrum

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

3. Selecteer de rol Gebruikers- en groepstoewijzingen beheren.

   

4. Selecteer Toewijzing toevoegen, selecteer de gewenste gebruiker en klik vervolgens op Selecteren om roltoewijzing aan de gebruiker toe te voegen.

   

Tips voor toewijzingen

• Als u machtigingen wilt verlenen aan toegewezen personen voor het beheren van gebruikers en groepstoegang voor alle bedrijfsapps in de hele organisatie, begint u vanuit de lijst rollen en beheerders in de hele organisatie op de overzichtspagina van Microsoft Entra-id voor uw organisatie.

• Als u machtigingen wilt verlenen aan toegewezen personen voor het beheren van gebruikers en groepstoegang voor een specifieke bedrijfs-app, gaat u naar die app in Microsoft Entra-id en opent u deze in de lijst rollen en beheerders voor die app. Selecteer de nieuwe aangepaste rol en voltooi de toewijzing van de gebruiker of groep. De toegewezen personen kunnen gebruikers en groepstoegang alleen beheren voor de specifieke app.

• Als u uw aangepaste roltoewijzing wilt testen, meldt u zich aan als de toegewezen gebruiker en opent u de pagina Gebruikers en groepen van een toepassing om te controleren of de optie Gebruiker toevoegen is ingeschakeld.

  

PowerShell

Zie Een aangepaste rol maken in Microsoft Entra ID en Microsoft Entra-rollentoewijzen voor meer informatie.

Een aangepaste rol maken

Maak een nieuwe rol met behulp van het volgende PowerShell-script:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

De aangepaste rol toewijzen

De rol toewijzen met behulp van dit PowerShell-script.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph API-

Gebruik de API unifiedRoleDefinition maken om een aangepaste rol te maken. Zie Een aangepaste rol maken in Microsoft Entra ID en Microsoft Entra-rollen toewijzenvoor meer informatie.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Een aangepaste rol toewijzen met de Microsoft Graph API

Gebruik de API unifiedRoleDefinition maken om een aangepaste toe te wijzen. De roltoewijzing combineert een beveiligings-principal-id (die een gebruiker of service-principal kan zijn), een roldefinitie-id en een Microsoft Entra-resourcebereik. Zie het overzicht van aangepaste rollen voor meer informatie over de elementen van een roltoewijzing

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Volgende stappen

• De beschikbare aangepaste rolmachtigingen voor bedrijfs-apps verkennen