Udostępnij za pośrednictwem


Przypisywanie ról usługi Microsoft Entra w różnych zakresach

W usłudze Microsoft Entra ID role są zwykle przypisywane do stosowania do całej dzierżawy. Można jednak również przypisać role firmy Microsoft Entra dla różnych zasobów, takich jak jednostki administracyjne lub rejestracje aplikacji. Można na przykład przypisać rolę Administrator pomocy technicznej, tak aby dotyczyła tylko określonej jednostki administracyjnej, a nie całej dzierżawy. Zasoby, do których ma zastosowanie przypisanie roli, są również nazywane zakresem. W tym artykule opisano sposób przypisywania ról firmy Microsoft w zakresie dzierżawy, jednostki administracyjnej i rejestracji aplikacji. Aby uzyskać więcej informacji na temat zakresu, zobacz Omówienie kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.

Wymagania wstępne

  • Administrator ról uprzywilejowanych.
  • Zestaw MICROSOFT Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell.
  • Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Przypisywanie ról w zakresie do dzierżawy

W tej sekcji opisano sposób przypisywania ról w zakresie dzierżawy.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

    Strona Role i administratorzy w usłudze Microsoft Entra ID.

  3. Wybierz rolę, aby wyświetlić jej przypisania. Aby ułatwić znalezienie potrzebnej roli, użyj opcji Dodaj filtry , aby filtrować role.

  4. Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników, którzy mają zostać przypisani do tej roli.

    Dodaj okienko przypisania dla wybranej roli.

  5. Wybierz przycisk Dodaj, aby przypisać rolę.

PowerShell

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu programu PowerShell.

  1. Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

    Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Użyj polecenia Get-MgUser , aby pobrać użytkownika.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  5. Ustaw dzierżawę jako zakres przypisania roli.

    $directoryScope = '/'
    
  6. Przypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Interfejsu API programu Microsoft Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

  1. Zaloguj się do Eksploratora programu Graph.

  2. Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
    
  4. Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/"
    }
    

Przypisywanie ról o zakresie do jednostki administracyjnej

W tej sekcji opisano sposób przypisywania ról w zakresie jednostki administracyjnej.

Centrum administracyjne Microsoft Entra

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do pozycji Role tożsamości>i administratorzy>jednostki administracyjne.

  3. Wybierz jednostkę administracyjną.

    Jednostki administracyjne w usłudze Microsoft Entra ID.

  4. Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania za pośrednictwem jednostki administracyjnej.

    Menu Role i administratorzy w obszarze Jednostki administracyjne w identyfikatorze Entra firmy Microsoft.

  5. Wybierz żądaną rolę.

  6. Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupę, do których chcesz przypisać tę rolę.

  7. Wybierz pozycję Dodaj , aby przypisać rolę o określonym zakresie w jednostce administracyjnej.

Uwaga

W tym miejscu nie będzie widoczna cała lista wbudowanych lub niestandardowych ról firmy Microsoft. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane z obiektami obsługiwanymi w jednostce administracyjnej. Aby wyświetlić listę obiektów obsługiwanych w ramach jednostki administracyjnej, zobacz Jednostki administracyjne w identyfikatorze Entra firmy Microsoft.

PowerShell

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra w zakresie jednostki administracyjnej przy użyciu programu PowerShell.

  1. Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

    Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Użyj polecenia Get-MgUser , aby pobrać użytkownika.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'User Administrator'"
    
  5. Użyj polecenia Get-MgDirectoryAdministrativeUnit , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

    $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
    $directoryScope = '/administrativeUnits/' + $adminUnit.Id
    
  6. Przypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Interfejsu API programu Microsoft Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie jednostki administracyjnej przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

  1. Zaloguj się do Eksploratora programu Graph.

  2. Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
    
  4. Użyj interfejsu API List administrativeUnits , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

    GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
    
  5. Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
    }
    

Uwaga

Tutaj directoryScopeId jest określony jako /administrativeUnits/foo, zamiast /foo. Jest on zgodnie z projektem. Zakres /administrativeUnits/foo oznacza, że podmiot zabezpieczeń może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej roli), a nie samej jednostki administracyjnej. Zakres /foo oznacza, że podmiot zabezpieczeń może zarządzać samym obiektem Microsoft Entra. W kolejnej sekcji zobaczysz, że zakres to /foo , ponieważ rola o zakresie rejestracji aplikacji przyznaje uprawnienie do zarządzania samym obiektem.

Przypisywanie ról o zakresie do rejestracji aplikacji

W tej sekcji opisano sposób przypisywania ról w zakresie rejestracji aplikacji.

Centrum administracyjne Microsoft Entra

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

  2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  3. Wybierz aplikację. Aby znaleźć żądaną aplikację, możesz użyć pola wyszukiwania.

    Rejestracje aplikacji w usłudze Microsoft Entra ID.

  4. Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania w ramach rejestracji aplikacji.

    Role rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

  5. Wybierz żądaną rolę.

  6. Wybierz pozycję Dodaj przypisania , a następnie wybierz użytkowników lub grupę, do których chcesz przypisać tę rolę.

    Dodaj zakres przypisania roli do rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

  7. Wybierz pozycję Dodaj , aby przypisać rolę w zakresie rejestracji aplikacji.

    Pomyślnie dodano przypisanie roli o zakresie do rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

    Rola przypisana użytkownikowi w zakresie rejestracji aplikacji w identyfikatorze Entra firmy Microsoft.

Uwaga

W tym miejscu nie będzie widoczna cała lista wbudowanych lub niestandardowych ról firmy Microsoft. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane tylko z zarządzaniem rejestracjami aplikacji.

PowerShell

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra w zakresie aplikacji przy użyciu programu PowerShell.

  1. Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

    Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Użyj polecenia Get-MgUser , aby pobrać użytkownika.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Użyj polecenia Get-MgRoleManagementDirectoryRoleDefinition , aby uzyskać rolę, którą chcesz przypisać.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'Application Administrator'"
    
  5. Użyj polecenia Get-MgApplication , aby uzyskać rejestrację aplikacji, do której ma być ograniczone przypisanie roli.

    $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
    $directoryScope = '/' + $appRegistration.Id
    
  6. Przypisz rolę za pomocą polecenia New-MgRoleManagementDirectoryRoleAssignment .

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id 
    

Interfejsu API programu Microsoft Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie aplikacji przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

  1. Zaloguj się do Eksploratora programu Graph.

  2. Użyj interfejsu API wyświetlanie listy użytkowników , aby uzyskać użytkownika.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Użyj interfejsu API List unifiedRoleDefinitions , aby uzyskać rolę, którą chcesz przypisać.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
    
  4. Użyj interfejsu API listy aplikacji , aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

    GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
    
  5. Aby przypisać rolę, użyj interfejsu API Create unifiedRoleAssignment .

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/<provide objectId of the app registration obtained above>"
    }
    

Uwaga

Tutaj katalogScopeId jest określony jako /foo, w przeciwieństwie do powyższej sekcji. Jest on zgodnie z projektem. Zakres /foo oznacza, że podmiot zabezpieczeń może zarządzać tym obiektem Microsoft Entra. Zakres /administrativeUnits/foo oznacza, że podmiot zabezpieczeń może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej roli), a nie samej jednostki administracyjnej.

Następne kroki