Przypisz role Microsoft Entra

W tym artykule opisano sposób przypisywania ról firmy Microsoft Entra do użytkowników i grup przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. Opisano również sposób przypisywania ról w różnych zakresach, takich jak dzierżawa, rejestracja aplikacji i zakresy jednostek administracyjnych.

Do użytkownika można przypisać zarówno role bezpośrednie, jak i pośrednie. Jeśli użytkownik ma przypisaną rolę przez członkostwo w grupie, dodaj użytkownika do grupy, aby dodać przypisanie roli. Aby uzyskać więcej informacji, zobacz Użyj grup Microsoft Entra do zarządzania przypisaniami ról.

W usłudze Microsoft Entra ID role są zwykle przypisywane do stosowania do całej dzierżawy. Można jednak przypisać również role Microsoft Entra dla różnych zasobów, takich jak rejestracje aplikacji lub jednostki administracyjne. Można na przykład przypisać rolę Administratora helpdesku, tak aby dotyczyła tylko określonej jednostki administracyjnej, a nie całego dzierżawcy. Zasoby, do których ma zastosowanie przypisanie roli, są również nazywane zakresem. Obsługiwane jest ograniczenie zakresu przypisania ról dla ról wbudowanych i niestandardowych. Aby uzyskać więcej informacji na temat zakresu, zobacz Omówienie kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.

Role usługi Microsoft Entra w usłudze PIM

Jeśli masz licencję microsoft Entra ID P2 i Privileged Identity Management (PIM), masz dodatkowe możliwości podczas przypisywania ról, takich jak kwalifikowanie użytkownika do przypisania roli lub definiowanie czasu rozpoczęcia i zakończenia przypisania roli. Aby uzyskać informacje na temat przypisywania ról usługi Microsoft Entra w usłudze PIM, zobacz następujące artykuły:

Metoda	Informacja
Centrum administracyjne firmy Microsoft Entra	Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management
Microsoft Graph PowerShell	Samouczek : Przypisywanie ról Microsoft Entra w usłudze Privileged Identity Management przy użyciu programu Microsoft Graph PowerShell
Microsoft Graph API	Zarządzanie przypisaniami ról Microsoft Entra przy użyciu interfejsów API PIM Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management

Warunki wstępne

• Administrator ról uprzywilejowanych
• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące użycia PowerShell lub Graph Explorer.

Przypisywanie ról z zakresem dzierżawy

W tej sekcji opisano sposób przypisywania ról na poziomie dzierżawy.

Centrum administracyjne

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej Administrator Ról uprzywilejowanych .

2. Przejdź do tożsamości>role & administratorzy>role & administratorzy.

   

3. Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.

   

4. Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, które chcesz przypisać do tej roli.

   Wyświetlane są tylko grupy z możliwością przypisywania ról. Jeśli grupa nie znajduje się na liście, musisz utworzyć grupę z możliwością przypisania ról. Aby uzyskać więcej informacji, zobacz Utwórz grupę z przypisywanymi rolami w usłudze Microsoft Entra ID.

   Jeśli Twoje doświadczenie różni się od przedstawionego na poniższym zrzucie ekranu, być może masz Microsoft Entra ID P2 i PIM. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management.

   

5. Wybierz pozycję Dodaj, aby przypisać rolę.

PowerShell

Wykonaj następujące kroki, aby przypisać role firmy Microsoft Entra przy użyciu programu PowerShell.

1. Otwórz okno programu PowerShell. W razie potrzeby użyj Install-Module, aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące korzystania z PowerShell lub Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. W oknie programu PowerShell użyj Connect-MgGraph, aby zalogować się do konta dzierżawy.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Aby uzyskać użytkownika, użyj Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Użyj Get-MgGroup, aby uzyskać grupę z możliwością przypisywania ról.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

   Aby wyświetlić listę identyfikatorów definicji ról dla wszystkich wbudowanych ról, zobacz wbudowane role firmy Microsoft Entra.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Ustaw podmiot jako zakres roli.

   $directoryScope = '/'
   

6. Aby przypisać rolę, użyj New-MgRoleManagementDirectoryRoleAssignment.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Oto inny sposób przypisywania roli.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę przy użyciu Microsoft Graph API w Graph Explorer.

1. Zaloguj się do eksploratora Graph .

2. Użyj interfejsu API listy , aby uzyskać użytkownika.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Użyj interfejsu API Lista grup, aby uzyskać grupę, której można przypisać role.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Użyj interfejsu API List unifiedRoleDefinitions, aby uzyskać rolę, którą chcesz przypisać.

   Aby wyświetlić listę identyfikatorów definicji ról dla wszystkich wbudowanych ról, zobacz wbudowane role firmy Microsoft Entra.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Odpowiedź

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Jeśli definicja podmiotu zabezpieczeń lub roli nie istnieje, odpowiedź nie zostanie odnaleziona.

   Odpowiedź

   HTTP/1.1 404 Not Found
   

Przypisywanie ról w kontekście rejestracji aplikacji

Wbudowane role i role niestandardowe są domyślnie przypisywane na poziomie dzierżawy, aby przyznać uprawnienia dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.

W tej sekcji opisano sposób przypisywania ról w zakresie rejestracji aplikacji.

centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej deweloper aplikacji.

2. Przejdź do Identity>Applications>do sekcji Rejestracje aplikacji.

3. Wybierz aplikację. Aby znaleźć żądaną aplikację, możesz użyć pola wyszukiwania.

   Możesz musieć wybrać pozycję Wszystkie aplikacje, aby zobaczyć pełną listę rejestracji aplikacji w Twojej dzierżawie.

   

4. Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania w ramach rejestracji aplikacji.

   

5. Wybierz żądaną rolę.

   Napiwek

   Nie zobaczysz tutaj całej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane tylko z zarządzaniem rejestracjami aplikacji.

6. Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.

   

7. Wybierz pozycję Dodaj, aby przypisać rolę w zakresie rejestracji aplikacji.

programu PowerShell

Wykonaj następujące kroki, aby przypisać role Microsoft Entra w zakresie aplikacji przy użyciu PowerShell.

1. Otwórz okno programu PowerShell. W razie potrzeby użyj Install-Module, aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania PowerShell lub Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. W oknie programu PowerShell użyj Connect-MgGraph, aby zalogować się do konta dzierżawcy.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Aby uzyskać użytkownika, użyj Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Aby przypisać rolę do jednostki usługi zamiast użytkownika, użyj polecenia Get-MgServicePrincipal.

4. Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Użyj Get-MgApplication, aby uzyskać rejestrację aplikacji, do której ma zostać ograniczone przypisanie roli.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Użyj New-MgRoleManagementDirectoryRoleAssignment, aby przypisać rolę.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w obszarze aplikacji przy użyciu interfejsu API Microsoft Graph w Graph Explorer.

1. Zaloguj się w Graph Explorer .

2. Użyj interfejsu API List users, aby uzyskać użytkownika.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Użyj interfejsu API List unifiedRoleDefinitions, aby uzyskać rolę, którą chcesz przypisać.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Użyj interfejsu API Lista aplikacji , aby uzyskać aplikację, na którą będzie nałożony zakres przypisania roli.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Odpowiedź

   HTTP/1.1 201 Created
   

   Notatka

   W tym przykładzie directoryScopeId jest określony jako /<ID>, w odróżnieniu od części dotyczącej jednostek administracyjnych. To jest zamierzone. Zakres /<ID> oznacza, że główny podmiot może zarządzać tym obiektem Microsoft Entra. Zakres /administrativeUnits/<ID> oznacza, że administrator może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej mu roli), a nie samą jednostką administracyjną.

Przypisywanie ról z zakresem jednostki administracyjnej

W usłudze Microsoft Entra ID, aby uzyskać bardziej szczegółową kontrolę administracyjną, możesz przypisać rolę Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostek administracyjnych. Gdy rola Microsoft Entra jest przypisana w ramach zakresu jednostki administracyjnej, uprawnienia roli mają zastosowanie wyłącznie w zarządzaniu członkami tej jednostki i nie dotyczą ustawień ani konfiguracji obejmujących całą dzierżawę.

Na przykład administrator, który ma przypisaną rolę Administrator grup w zakresie jednostki administracyjnej, może zarządzać grupami należącymi do jednostki administracyjnej, ale nie może zarządzać innymi grupami w dzierżawie. Nie mogą również zarządzać ustawieniami na poziomie dzierżawy związanymi z grupami, takimi jak zasady wygasania lub nazewnictwa grup.

W tej sekcji opisano sposób przypisywania ról Microsoft Entra z zakresem jednostki administracyjnej.

Warunki wstępne

• Licencja microsoft Entra ID P1 lub P2 dla każdego administratora jednostki administracyjnej
• Microsoft Entra ID — bezpłatne licencje dla członków jednostki administracyjnej
• Administrator ról uprzywilejowanych
• Moduł PowerShell dla Microsoft Graph podczas korzystania z PowerShell
• Zgoda administratora podczas korzystania z Eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania PowerShell lub Graph Explorer.

Role, które można przypisać w zakresie jednostki administracyjnej

Role Microsoft Entra, które można przypisać z zakresem jednostki administracyjnej, to: Ponadto dowolną rolę niestandardową można przypisać jako zakres jednostki administracyjnej, jeżeli uprawnienia roli niestandardowej obejmują co najmniej jedno uprawnienie istotne dla użytkowników, grup lub urządzeń.

Rola	Opis
Administrator uwierzytelniania	Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla każdego użytkownika niebędącego administratorem tylko w przypisanej jednostce administracyjnej.
Administrator urządzeń w chmurze	Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID.
Administrator grup	Może zarządzać wszystkimi aspektami grup tylko w przypisanej jednostce administracyjnej.
administratora pomocy technicznej	Może resetować hasła tylko dla osób, które nie są administratorami, w przypisanej jednostce administracyjnej.
administratora licencji	Może przypisywać, usuwać i aktualizować przypisania licencji tylko w jednostce administracyjnej.
administrator haseł	Może resetować hasła dla osób niebędących administratorami tylko w ramach przypisanej jednostki administracyjnej.
administrator drukarki	Może zarządzać drukarkami i łącznikami drukarek. Aby uzyskać więcej informacji, zobacz Delegowanie administracji drukarek w usłudze Universal Print.
Administrator uwierzytelniania uprzywilejowanego	Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator).
administratora programu SharePoint	Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. W przypadku witryn programu SharePoint skojarzonych z grupami platformy Microsoft 365 w jednostce administracyjnej można również aktualizować właściwości witryny (nazwa witryny, adres URL i zasady udostępniania zewnętrznego) przy użyciu centrum administracyjnego platformy Microsoft 365. Do zarządzania witrynami nie można użyć centrum administracyjnego programu SharePoint ani interfejsów API programu SharePoint.
administratora usługi Teams	Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. Może zarządzać członkami zespołu w centrum administracyjnym platformy Microsoft 365 dla zespołów skojarzonych z grupami tylko w przypisanej jednostce administracyjnej. Nie można użyć centrum administracyjnego usługi Teams.
Administrator Urządzeń Teams	Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams.
administrator użytkowników	Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów tylko w ramach przypisanej jednostki administracyjnej. Obecnie nie można zarządzać zdjęciami profilowymi użytkowników.
<niestandardowa rola>	Może wykonywać akcje, które mają zastosowanie do użytkowników, grup lub urządzeń, zgodnie z definicją roli niestandardowej.

Niektóre uprawnienia roli mają zastosowanie tylko do użytkowników niebędących administratorami w przypadku przypisania do zakresu jednostki administracyjnej. Innymi słowy, jednostka administracyjna o zakresie administratorów pomocy technicznej może resetować hasła dla użytkowników w jednostce administracyjnej tylko wtedy, gdy ci użytkownicy nie mają ról administratora. Poniższa lista uprawnień jest ograniczona, gdy elementem docelowym akcji jest inny administrator:

• Odczytywanie i modyfikowanie metod uwierzytelniania użytkowników lub resetowanie haseł użytkowników
• Modyfikowanie poufnych właściwości użytkownika, takich jak numery telefonów, alternatywne adresy e-mail lub klucze tajne Open Authorization (OAuth)
• Usuwanie lub przywracanie kont użytkowników

Elementy zabezpieczeń, które można przypisać do jednostki administracyjnej

Następujące podmioty zabezpieczeń można przypisać do roli z zakresem jednostki administracyjnej:

• Użytkownicy
• Grupy z rolami przypisywalnymi w Microsoft Entra
• Podmioty usługi

Jednostki usługi i użytkownicy-goście

Jednostki usługi i użytkownicy-goście nie będą mogli używać przypisania roli w zakresie do jednostki administracyjnej, chyba że przypisano im również odpowiednie uprawnienia do odczytywania obiektów. Dzieje się tak, ponieważ jednostki usługi i użytkownicy-goście domyślnie nie otrzymują uprawnień do odczytu katalogu, które są wymagane do wykonywania akcji administracyjnych. Aby umożliwić podmiotowi usługi lub użytkownikowi zewnętrznemu korzystanie z przypisania roli ograniczonego do jednostki administracyjnej, należy przypisać rolę Czytelnicy Katalogów (lub inną rolę, która zawiera uprawnienia do odczytu) na poziomie dzierżawy.

Obecnie nie można przypisać uprawnień do odczytu katalogu w zakresie do jednostki administracyjnej. Aby uzyskać więcej informacji na temat domyślnych uprawnień dla użytkowników, zobacz domyślnych uprawnień użytkownika.

Przypisywanie ról w obrębie jednostki administracyjnej

W tej sekcji opisano sposób przypisywania ról w zakresie jednostki administracyjnej.

Centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Ról Uprzywilejowanych.

2. Przejdź do Role>tożsamości & administratorów>.

3. Wybierz jednostkę administracyjną.

   

4. Wybierz opcję Role i administratorzy z menu nawigacyjnego po lewej stronie, aby zobaczyć listę wszystkich dostępnych ról do przypisania w jednostce administracyjnej.

   

5. Wybierz żądaną rolę.

   Napiwek

   Nie zobaczysz tutaj pełnej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane z obiektami obsługiwanymi w jednostce administracyjnej. Aby wyświetlić listę obiektów obsługiwanych w ramach jednostki administracyjnej, zobacz Jednostki administracyjne w usłudze Microsoft Entra ID.

6. Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.

7. Wybierz pozycję Dodaj, aby przypisać rolę o określonym zakresie w jednostce administracyjnej.

PowerShell

Wykonaj następujące kroki, aby przypisać role w Microsoft Entra w zakresie jednostki administracyjnej za pomocą PowerShell.

1. Otwórz okno programu PowerShell. W razie potrzeby użyj Install-Module, aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące użycia PowerShell lub Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. W oknie programu PowerShell użyj Connect-MgGraph, aby zalogować się na tenanta.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Aby uzyskać użytkownika, użyj Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Użyj Get-MgRoleManagementDirectoryRoleDefinition, aby uzyskać rolę, którą chcesz przypisać.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Użyj Get-MgDirectoryAdministrativeUnit, aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Aby przypisać rolę, użyj New-MgRoleManagementDirectoryRoleAssignment.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph

Postępuj zgodnie z tymi instrukcjami, aby przypisać rolę w zakresie jednostki administracyjnej przy użyciu Microsoft Graph API w programie Graph Explorer.

Przypisz rolę za pomocą interfejsu API Create unifiedRoleAssignment

1. Zaloguj się do Graph Explorer .

2. Użyj interfejsu API listy użytkowników , aby uzyskać użytkownika.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Użyj interfejsu API List unifiedRoleDefinitions, aby uzyskać rolę, którą chcesz przypisać.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Użyj interfejsu API List administrativeUnits, aby uzyskać jednostkę administracyjną, do której ma zostać ograniczone przypisanie roli.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Odpowiedź

   HTTP/1.1 201 Created
   

   Jeśli rola nie jest obsługiwana, odpowiedź to nieprawidłowe żądanie.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Notatka

   W tym przykładzie directoryScopeId jest określona jako /administrativeUnits/<ID>, a nie /<ID>. Tak było zamierzone. Zakres /administrativeUnits/<ID> oznacza, że główna osoba odpowiedzialna może zarządzać członkami jednostki administracyjnej (na podstawie przypisanej jej roli), a nie samą jednostką administracyjną. Zakres /<ID> oznacza, że podmiot zabezpieczeń może zarządzać samym obiektem Microsoft Entra. W sekcji rejestracji aplikacji widzisz, że zakres jest /<ID>, ponieważ rola ograniczona do rejestracji aplikacji przyznaje przywilej zarządzania samym obiektem.

Przypisz rolę, używając interfejsu API Add a scopedRoleMember.

Alternatywnie możesz użyć interfejsu API Add a scopedRoleMember w celu przypisania roli z zakresem jednostki administracyjnej.

Prośba

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Ciało

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Następne kroki

• Listy przypisań ról firmy Microsoft
• Przypisywanie ról Microsoft Entra w Zarządzaniu uprzywilejowanymi tożsamościami
• Użyj grup Microsoft Entra do zarządzania przypisaniami ról
• Rozwiązywanie problemów z rolami Microsoft Entra przypisanymi do grup