Tworzenie ról niestandardowych do zarządzania aplikacjami dla przedsiębiorstw w usłudze Microsoft Entra ID
W tym artykule wyjaśniono, jak utworzyć rolę niestandardową z uprawnieniami do zarządzania przypisaniami aplikacji dla przedsiębiorstw dla użytkowników i grup w usłudze Microsoft Entra ID. Aby zapoznać się z elementami przypisań ról i znaczeniem terminów, takich jak podtyp, uprawnienie i zestaw właściwości, zobacz omówienie ról niestandardowych.
Wymagania wstępne
- Licencja Microsoft Entra ID P1 lub P2
- Administrator ról uprzywilejowanych
- Zestaw Microsoft Graph PowerShell SDK zainstalowany podczas korzystania z programu PowerShell
- Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.
Uprawnienia roli aplikacji dla przedsiębiorstw
W tym artykule omówiono dwa uprawnienia aplikacji dla przedsiębiorstw. We wszystkich przykładach użyto uprawnienia aktualizacji.
- Aby odczytać przypisania użytkowników i grup w zakresie, przyznaj uprawnienie
microsoft.directory/servicePrincipals/appRoleAssignedTo/read - Aby zarządzać przypisaniami użytkowników i grup w zakresie, przyznaj uprawnienie
microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Udzielenie uprawnień aktualizacji powoduje, że osoba przydzielona jest w stanie zarządzać przypisaniami użytkowników i grup w aplikacjach dla przedsiębiorstw. Zakres przypisań użytkowników i/lub grup można przyznać dla jednej aplikacji lub przyznane dla wszystkich aplikacji. W przypadku udzielenia na poziomie całej organizacji osoba przydzielona może zarządzać przypisaniami wszystkich aplikacji. W przypadku utworzenia na poziomie aplikacji osoba przypisana może zarządzać przypisaniami tylko dla określonej aplikacji.
Udzielanie uprawnień aktualizacji odbywa się w dwóch krokach:
- Tworzenie roli niestandardowej z uprawnieniami
microsoft.directory/servicePrincipals/appRoleAssignedTo/update - Udziel użytkownikom lub grupom uprawnień do zarządzania przypisaniami użytkowników i grup do aplikacji dla przedsiębiorstw. Jest to możliwe, gdy można ustawić zakres na poziomie całej organizacji lub na jedną aplikację.
Centrum administracyjne Microsoft Entra
Tworzenie nowej roli niestandardowej
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
W centrum administracyjnym firmy Microsoft możesz tworzyć role niestandardowe i zarządzać nimi w celu kontrolowania dostępu i uprawnień dla aplikacji dla przedsiębiorstw.
Uwaga
Role niestandardowe są tworzone i zarządzane na poziomie całej organizacji i są dostępne tylko na stronie Przegląd organizacji.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz pozycję Nowa rola niestandardowa.
Na karcie Podstawy podaj nazwę roli "Zarządzanie przypisaniami użytkowników i grup" oraz "Udziel uprawnień do zarządzania przypisaniami użytkowników i grup", a następnie wybierz przycisk Dalej.
Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" w polu wyszukiwania, zaznacz pola wyboru obok odpowiednich uprawnień, a następnie wybierz pozycję Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.
Przypisywanie roli do użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>
Wybierz rolę Zarządzaj przypisaniami użytkowników i grup.
Wybierz pozycję Dodaj przypisanie, wybierz żądanego użytkownika, a następnie kliknij pozycję Wybierz , aby dodać przypisanie roli do użytkownika.
Porady dotyczące przydziału
Aby udzielić uprawnień do przypisywania do zarządzania użytkownikami i dostępem grup dla wszystkich aplikacji dla przedsiębiorstw w całej organizacji, zacznij od listy Role i administratorzy w całej organizacji na stronie Przegląd identyfikatora Entra firmy Microsoft dla organizacji.
Aby udzielić uprawnień do przypisywania do zarządzania użytkownikami i dostępem grup dla określonej aplikacji dla przedsiębiorstw, przejdź do tej aplikacji w identyfikatorze Entra firmy Microsoft i otwórz go na liście Role i administratorzy dla tej aplikacji. Wybierz nową rolę niestandardową i ukończ przypisanie użytkownika lub grupy. Przypisani mogą zarządzać użytkownikami i dostępem grup tylko dla określonej aplikacji.
Aby przetestować niestandardowe przypisanie roli, zaloguj się jako osoba przypisana i otwórz stronę Użytkownicy i grupy aplikacji, aby sprawdzić, czy opcja Dodaj użytkownika jest włączona.
PowerShell
Aby uzyskać więcej szczegółów, zobacz Tworzenie i przypisywanie roli niestandardowej w usłudze Microsoft Entra ID i Przypisywanie ról niestandardowych z zakresem zasobów przy użyciu programu PowerShell.
Tworzenie roli niestandardowej
Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:
# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid
# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission
# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
-DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled
Przypisywanie roli niestandardowej
Przypisz rolę przy użyciu tego skryptu programu PowerShell.
# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"
# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id
# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
-PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id
Interfejsu API programu Microsoft Graph
Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową. Aby uzyskać więcej informacji, zobacz Tworzenie i przypisywanie roli niestandardowej w usłudze Microsoft Entra ID i Przypisywanie niestandardowych ról administratora przy użyciu interfejsu API programu Microsoft Graph.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
{
"description": "Can manage user and group assignments for Applications.",
"displayName": "Manage user and group assignments",
"isEnabled": true,
"rolePermissions":
[
{
"allowedResourceActions":
[
"microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
]
}
],
"templateId": "<PROVIDE NEW GUID HERE>",
"version": "1"
}
Przypisywanie roli niestandardowej przy użyciu interfejsu API programu Microsoft Graph
Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (który może być użytkownikiem lub jednostką usługi), identyfikatorem definicji roli i zakresem zasobu Microsoft Entra. Aby uzyskać więcej informacji na temat elementów przypisania roli, zobacz omówienie ról niestandardowych
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
{
"@odata.type": "#microsoft.graph.unifiedRoleAssignment",
"principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
"roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
"directoryScopeId": "/"
}