Als u toegang wilt verlenen aan gebruikers in Microsoft Entra ID, wijst u Microsoft Entra-rollen toe. Een rol is een verzameling machtigingen. In dit artikel wordt beschreven hoe u Microsoft Entra-rollen toewijst met behulp van het Microsoft Entra-beheercentrum en PowerShell.
Microsoft Entra-rollen toewijzen aan gebruikers
Vereisten
- Beheerder van bevoorrechte rol. Als u wilt weten wie de beheerder van uw bevoorrechte rol is, raadpleegt u De roltoewijzingen van Microsoft Entra weergeven
- Microsoft Entra ID P2-licentie bij het gebruik van Privileged Identity Management (PIM)
- Microsoft Graph PowerShell-module bij het gebruik van PowerShell
- U geeft beheerderstoestemming bij het gebruik van Graph Explorer voor de Microsoft Graph API
Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Microsoft Entra-beheercentrum
Volg deze stappen om Microsoft Entra-rollen toe te wijzen met behulp van het Microsoft Entra-beheercentrum. Uw ervaring verschilt, afhankelijk van of Microsoft Entra Privileged Identity Management (PIM) is ingeschakeld.
Een rol toewijzen
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.
Zoek de rol die u nodig hebt. U kunt het zoekvak of Filters toevoegen gebruiken om de rollen te filteren.
Selecteer de naam van de rol om de rol te openen. Voeg geen vinkje toe naast de rol.
Selecteer Toewijzingen toevoegen en selecteer vervolgens de gebruikers aan wie u deze rol wilt toewijzen.
Als u iets anders ziet dan in de volgende afbeelding, is PIM mogelijk ingeschakeld. Bekijk de volgende sectie.
Notitie
Als u een ingebouwde Microsoft Entra-rol toewijst aan een gastgebruiker, wordt de gastgebruiker verhoogd met dezelfde machtigingen als een lidgebruiker. Zie Wat zijn de standaardgebruikersmachtigingen voor leden en gastgebruikers in Microsoft Entra ID?
Selecteer Toevoegen om de rol toe te wijzen.
Een rol toewijzen met behulp van PIM
Als u Microsoft Entra Privileged Identity Management (PIM) hebt ingeschakeld, hebt u extra mogelijkheden voor roltoewijzing. U kunt bijvoorbeeld een gebruiker in aanmerking laten komen voor een rol of de duur instellen. Wanneer PIM is ingeschakeld, zijn er twee manieren waarop u rollen kunt toewijzen met behulp van het Microsoft Entra-beheercentrum. U kunt de pagina Rollen en beheerders of de PIM-ervaring gebruiken. In beide gevallen wordt dezelfde PIM-service gebruikt.
Volg deze stappen om rollen toe te wijzen met behulp van de pagina Rollen en beheerders. Als u rollen wilt toewijzen met Privileged Identity Management, raadpleegt u Microsoft Entra-rollen toewijzen in Privileged Identity Management.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.
Zoek de rol die u nodig hebt. U kunt het zoekvak of Filters toevoegen gebruiken om de rollen te filteren.
Selecteer de naam van de rol om de rol te openen en bekijk de in aanmerking komende, actieve en verlopen roltoewijzingen. Voeg geen vinkje toe naast de rol.
Selecteer Toewijzingen toevoegen.
Selecteer Geen lid geselecteerd en selecteer vervolgens de gebruikers aan wie u deze rol wilt toewijzen.
Selecteer Volgende.
Selecteer op het tabblad Instelling of u deze roltoewijzing in aanmerking komt of actief wilt maken.
Een in aanmerking komende roltoewijzing betekent dat de gebruiker een of meer acties moet uitvoeren om de rol te kunnen gebruiken. Een actieve roltoewijzing betekent dat de gebruiker geen actie hoeft uit te voeren om de rol te gebruiken. Zie PIM-terminologie voor meer informatie over de betekenis van deze instellingen.
Gebruik de overige opties om de duur voor de toewijzing in te stellen.
Selecteer Toewijzen om de rol toe te wijzen.
PowerShell
Volg deze stappen om Microsoft Entra-rollen toe te wijzen met behulp van PowerShell.
Instellingen
Open een PowerShell-venster en gebruik Import-Module om de Microsoft Graph PowerShell-module te importeren. Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.
Import-Module -Name Microsoft.Graph.Identity.Governance -ForceGebruik Connect-MgGraph in een PowerShell-venster om u aan te melden bij uw tenant.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"Gebruik Get-MgUser om de gebruiker aan wie u een rol wilt toewijzen te krijgen.
$user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
Een rol toewijzen
Gebruik Get-MgRoleManagementDirectoryRoleDefinition om de rol op te halen die u wilt toewijzen.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"Gebruik New-MgRoleManagementDirectoryRoleAssignment om de rol toe te wijzen.
$roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Een rol toewijzen als in aanmerking komend met behulp van PIM
Als PIM is ingeschakeld, hebt u aanvullende mogelijkheden, zoals een gebruiker in aanmerking laten komen voor een roltoewijzing of de begin- en eindtijd van een roltoewijzing definiƫren. Voor deze mogelijkheden zijn verschillende sets PowerShell-opdrachten nodig. Zie PowerShell voor Microsoft Entra-rollen in Privileged Identity Management voor meer informatie over het gebruik van PowerShell en PIM.
Gebruik Get-MgRoleManagementDirectoryRoleDefinition om de rol op te halen die u wilt toewijzen.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"Gebruik de volgende opdracht om een hash-tabel te maken om alle benodigde kenmerken op te slaan die nodig zijn om de rol toe te wijzen aan de gebruiker. De principal-id is de gebruikers-id waaraan u de rol wilt toewijzen. In dit voorbeeld is de toewijzing slechts 10 uur geldig.
$params = @{ "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222" "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe" "Justification" = "Add eligible assignment" "DirectoryScopeId" = "/" "Action" = "AdminAssign" "ScheduleInfo" = @{ "StartDateTime" = Get-Date "Expiration" = @{ "Type" = "AfterDuration" "Duration" = "PT10H" } } }Gebruik New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest om de rol toe te wijzen als in aanmerking komend. Zodra de rol is toegewezen, wordt deze weergegeven in het Microsoft Entra-beheercentrum in het gedeelte Identity governance>Privileged Identity Management>Microsoft Entra-rollentoewijzingen>>die in aanmerking komen voor toewijzingen.
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTimeMicrosoft Graph API
Volg deze instructies om een rol toe te wijzen met behulp van de Microsoft Graph API.
Een rol toewijzen
In dit voorbeeld wordt de rol Factureringsbeheerder (roldefinitie-id
b0f54661-2d74-4c50-afa3-1ec803f12efe) met tenantbereik toegewezen aan een beveiligingsprincipal met objectIDaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Zie Ingebouwde rollen van Microsoft Entra voor een overzicht van de onveranderbare rolsjabloon-id's van alle ingebouwde rollen.POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments Content-type: application/json { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "directoryScopeId": "/" }Een rol toewijzen met behulp van PIM
Een tijdgebonden in aanmerking komende roltoewijzing toewijzen
In dit voorbeeld wordt de tijdgebonden in aanmerking komende roltoewijzing Factureringsbeheerder (roldefinitie-id
b0f54661-2d74-4c50-afa3-1ec803f12efe) voor 180 dagen toegewezen aan een beveiligingsprincipal met objectIDaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "afterDuration", "duration": "PT180D" } } }Een permanente in aanmerking komende roltoewijzing toewijzen
In het volgende voorbeeld wordt de permanente in aanmerking komende rol Factureringsbeheerder toegewezen aan een beveiligingsprincipal.
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "noExpiration" } } }Een roltoewijzing activeren
Als u de roltoewijzing wilt activeren, gebruikt u de API roleAssignmentScheduleRequests maken.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests Content-type: application/json { "action": "selfActivate", "justification": "activating role assignment for admin privileges", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222" }Voor meer informatie over het beheren van Microsoft Entra-rollen via de PIM-API in Microsoft Graph raadpleegt u Overzicht van rolbeheer via de PIM-API (Privileged Identity Management).