Edytuj

Udostępnij za pośrednictwem

Przypisywanie ról firmy Microsoft do użytkowników

  • Porady

Aby udzielić dostępu użytkownikom w usłudze Microsoft Entra ID, przypisz role firmy Microsoft Entra. Rola to kolekcja uprawnień. W tym artykule opisano sposób przypisywania ról firmy Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft i programu PowerShell.

Wymagania wstępne

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Centrum administracyjne firmy Microsoft Entra

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft Entra. Twoje środowisko będzie się różnić w zależności od tego, czy masz włączoną usługę Microsoft Entra Privileged Identity Management (PIM ).

Przypisywanie roli

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

    Zrzut ekranu przedstawiający stronę Role i administratorzy w identyfikatorze Entra firmy Microsoft.

  3. Znajdź potrzebną rolę. Możesz użyć pola wyszukiwania lub Dodaj filtry , aby filtrować role.

  4. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

    Zrzut ekranu przedstawiający wybieranie roli.

  5. Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników, którzy mają zostać przypisani do tej roli.

    Jeśli widzisz coś innego niż na poniższej ilustracji, być może masz włączoną usługę PIM. Zobacz następną sekcję.

    Zrzut ekranu przedstawiający okienko Dodawanie przypisań dla wybranej roli.

    Uwaga

    Jeśli przypiszesz wbudowaną rolę firmy Microsoft Entra do użytkownika-gościa, użytkownik-gość zostanie podwyższony, aby mieć takie same uprawnienia jak użytkownik członkowski. Aby uzyskać informacje na temat domyślnych uprawnień członka i użytkownika-gościa, zobacz Jakie są domyślne uprawnienia użytkownika w identyfikatorze Entra firmy Microsoft?

  6. Wybierz przycisk Dodaj, aby przypisać rolę.

Przypisywanie roli przy użyciu usługi PIM

Jeśli masz włączoną usługę Microsoft Entra Privileged Identity Management (PIM ), masz dodatkowe możliwości przypisywania ról. Możesz na przykład ustawić użytkownika kwalifikującego się do roli lub ustawić czas trwania. Po włączeniu usługi PIM istnieją dwa sposoby przypisywania ról przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz użyć strony Role i administratorzy lub środowiska PIM. W obu metodach jest używana ta sama usługa PIM.

Wykonaj następujące kroki, aby przypisać role przy użyciu strony Role i administratorzy . Jeśli chcesz przypisać role przy użyciu usługi Privileged Identity Management, zobacz Przypisywanie ról firmy Microsoft w usłudze Privileged Identity Management.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

    Zrzut ekranu przedstawiający stronę Role i administratorzy w identyfikatorze Entra firmy Microsoft po włączeniu usługi PIM.

  3. Znajdź potrzebną rolę. Możesz użyć pola wyszukiwania lub Dodaj filtry , aby filtrować role.

  4. Wybierz nazwę roli, aby otworzyć rolę i wyświetlić jej kwalifikujące się, aktywne i wygasłe przypisania ról. Nie dodawaj znacznika wyboru obok roli.

    Zrzut ekranu przedstawiający wybieranie roli.

  5. Wybierz pozycję Dodaj przypisania.

  6. Wybierz pozycję Brak wybranego członka, a następnie wybierz użytkowników, którzy mają zostać przypisani do tej roli.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisań i Wybieranie okienka członka z włączoną funkcją PIM.

  7. Wybierz Dalej.

  8. Na karcie Ustawienie wybierz, czy chcesz, aby to przypisanie roli było uprawnione, czy aktywne.

    Kwalifikujące się przypisanie roli oznacza, że użytkownik musi wykonać co najmniej jedną akcję, aby użyć roli. Aktywne przypisanie roli oznacza, że użytkownik nie musi wykonywać żadnej akcji w celu użycia roli. Aby uzyskać więcej informacji o tym, co oznaczają te ustawienia, zobacz Terminologia usługi PIM.

    Zrzut ekranu przedstawiający stronę Dodawanie przypisań i kartę Ustawienia z włączoną usługą PIM.

  9. Użyj pozostałych opcji, aby ustawić czas trwania przypisania.

  10. Wybierz pozycję Przypisz , aby przypisać rolę.

Program PowerShell

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu programu PowerShell.

Ustawienia

  1. Otwórz okno programu PowerShell i za pomocą polecenia Import-Module zaimportuj moduł Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force

  2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

  3. Użyj polecenia Get-MgUser , aby uzyskać użytkownika, do którego chcesz przypisać rolę.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"

Przypisywanie roli

  1. Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"

  2. Przypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Przypisywanie roli jako uprawnionej przy użyciu usługi PIM

Jeśli usługa PIM jest włączona, masz dodatkowe możliwości, takie jak umożliwienie użytkownikowi przypisania roli lub zdefiniowanie godziny rozpoczęcia i zakończenia przypisania roli. Te możliwości korzystają z innego zestawu poleceń programu PowerShell. Aby uzyskać więcej informacji na temat korzystania z programu PowerShell i usługi PIM, zobacz PowerShell dla ról firmy Microsoft Entra w usłudze Privileged Identity Management.

  1. Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"

  2. Użyj następującego polecenia, aby utworzyć tabelę skrótów do przechowywania wszystkich niezbędnych atrybutów wymaganych do przypisania roli do użytkownika. Identyfikator podmiotu zabezpieczeń będzie identyfikatorem użytkownika, do którego chcesz przypisać rolę. W tym przykładzie przypisanie będzie prawidłowe tylko przez 10 godzin.

    $params = @{
  "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
  "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
  "Justification" = "Add eligible assignment"
  "DirectoryScopeId" = "/"
  "Action" = "AdminAssign"
  "ScheduleInfo" = @{
    "StartDateTime" = Get-Date
    "Expiration" = @{
      "Type" = "AfterDuration"
      "Duration" = "PT10H"
      }
    }
  }

  3. Użyj polecenia New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest , aby przypisać rolę jako kwalifikującą się. Po przypisaniu roli zostanie ona odzwierciedlona w centrum administracyjnym firmy Microsoft Entra w obszarze Zarządzanie tożsamościami>Uprzywilejowane>zarządzanie tożsamościami>Microsoft Entra Roles>Przypisania kwalifikujące się przypisania.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime

    Interfejsu API programu Microsoft Graph

    Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę przy użyciu interfejsu API programu Microsoft Graph.

    Przypisywanie roli

    W tym przykładzie podmiot zabezpieczeń z identyfikatorem objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb ma przypisaną rolę Administratora rozliczeń (identyfikator b0f54661-2d74-4c50-afa3-1ec803f12efedefinicji roli) w zakresie dzierżawy. Aby wyświetlić listę niezmiennych identyfikatorów szablonów ról wszystkich wbudowanych ról, zobacz Wbudowane role firmy Microsoft.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/"
}

    Przypisywanie roli przy użyciu usługi PIM

    Przypisywanie przypisywania kwalifikujących się ról powiązanych czasowo

    W tym przykładzie podmiot zabezpieczeń z identyfikatorem objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb ma przypisane przypisanie roli kwalifikującej się do czasu do administratora rozliczeń (identyfikator b0f54661-2d74-4c50-afa3-1ec803f12efedefinicji roli ) przez 180 dni.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

    Przypisywanie stałego przypisywania kwalifikujących się ról

    W poniższym przykładzie podmiot zabezpieczeń ma przypisane stałe przypisanie roli kwalifikującej się do administratora rozliczeń.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

    Aktywowanie przypisania roli

    Aby aktywować przypisanie roli, użyj interfejsu API Create roleAssignmentScheduleRequests .

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}

    Aby uzyskać więcej informacji na temat zarządzania rolami firmy Microsoft Entra za pośrednictwem interfejsu API usługi PIM w programie Microsoft Graph, zobacz Omówienie zarządzania rolami za pośrednictwem interfejsu API zarządzania tożsamościami uprzywilejowanymi (PIM).

Powiązana zawartość