Tworzenie ról niestandardowych do zarządzania aplikacjami dla przedsiębiorstw w usłudze Microsoft Entra ID

W tym artykule wyjaśniono, jak utworzyć rolę niestandardową z uprawnieniami do zarządzania przypisaniami aplikacji dla przedsiębiorstw dla użytkowników i grup w usłudze Microsoft Entra ID. Aby zapoznać się z elementami przypisań ról i znaczeniem terminów, takich jak podtyp, uprawnienie i zestaw właściwości, zobacz omówienie ról niestandardowych.

Wymagania wstępne

• Licencja Microsoft Entra ID P1 lub P2
• Administrator ról uprzywilejowanych
• moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
• Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Uprawnienia roli aplikacji dla przedsiębiorstw

W tym artykule omówiono dwa uprawnienia aplikacji dla przedsiębiorstw. We wszystkich przykładach użyto uprawnienia aktualizacji.

• Aby odczytać przypisania użytkowników i grup w zakresie, przyznaj uprawnienie microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Aby zarządzać przypisaniami użytkowników i grup w zakresie, przyznaj uprawnienie microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Udzielenie uprawnień aktualizacji powoduje, że osoba przydzielona jest w stanie zarządzać przypisaniami użytkowników i grup w aplikacjach dla przedsiębiorstw. Zakres przypisań użytkowników i/lub grup można przyznać dla jednej aplikacji lub przyznane dla wszystkich aplikacji. W przypadku udzielenia na poziomie całej organizacji osoba przydzielona może zarządzać przypisaniami wszystkich aplikacji. W przypadku utworzenia na poziomie aplikacji osoba przypisana może zarządzać przypisaniami tylko dla określonej aplikacji.

Udzielanie uprawnień aktualizacji odbywa się w dwóch krokach:

1. Tworzenie roli niestandardowej z uprawnieniami microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Udziel użytkownikom lub grupom uprawnień do zarządzania przypisaniami użytkowników i grup do aplikacji dla przedsiębiorstw. Jest to możliwe, gdy można ustawić zakres na poziomie całej organizacji lub na jedną aplikację.

centrum administracyjne

Tworzenie nowej roli niestandardowej

W centrum administracyjnym firmy Microsoft możesz tworzyć role niestandardowe i zarządzać nimi w celu kontrolowania dostępu i uprawnień dla aplikacji dla przedsiębiorstw.

Uwaga

Role niestandardowe są tworzone i zarządzane na poziomie całej organizacji i są dostępne tylko na stronie Przegląd organizacji.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

2. Przejdź do >>

3. Wybierz pozycję Nowa rola niestandardowa.

   

4. Na karcie Podstawy podaj nazwę roli "Zarządzanie przypisaniami użytkowników i grup" oraz "Udziel uprawnień do zarządzania przypisaniami użytkowników i grup", a następnie wybierz przycisk Dalej.

   

5. Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" w polu wyszukiwania, zaznacz pola wyboru obok odpowiednich uprawnień, a następnie wybierz pozycję Dalej.

   

6. Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

   

Przypisywanie roli do użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

2. Przejdź do >>

3. Wybierz rolę Zarządzaj przypisaniami użytkowników i grup.

   

4. Wybierz pozycję Dodaj przypisanie, wybierz żądanego użytkownika, a następnie kliknij pozycję Wybierz , aby dodać przypisanie roli do użytkownika.

   

Porady dotyczące przydziału

• Aby udzielić uprawnień do przypisywania do zarządzania użytkownikami i dostępem grup dla wszystkich aplikacji dla przedsiębiorstw w całej organizacji, zacznij od listy Role i administratorzy w całej organizacji na stronie Przegląd identyfikatoraEntra firmy Microsoft dla organizacji.

• Aby udzielić uprawnień do przypisywania do zarządzania użytkownikami i dostępem grup dla określonej aplikacji dla przedsiębiorstw, przejdź do tej aplikacji w identyfikatorze Entra firmy Microsoft i otwórz go na liście Role i administratorzy dla tej aplikacji. Wybierz nową rolę niestandardową i ukończ przypisanie użytkownika lub grupy. Przypisani mogą zarządzać użytkownikami i dostępem grup tylko dla określonej aplikacji.

• Aby przetestować niestandardowe przypisanie roli, zaloguj się jako osoba przypisana i otwórz stronę Użytkownicy i grupy aplikacji, aby sprawdzić, czy opcja Dodaj użytkownika jest włączona.

  

PowerShell

Aby uzyskać więcej informacji, zobacz Utwórz niestandardową rolę w Microsoft Entra ID i Przypisz role Microsoft Entra.

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Przypisywanie roli niestandardowej

Przypisz rolę przy użyciu tego skryptu programu PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph

Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową. Aby uzyskać więcej informacji, zobacz Utwórz niestandardową rolę w Microsoft Entra ID i Przypisz role Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Przypisywanie roli niestandardowej przy użyciu interfejsu API programu Microsoft Graph

Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (który może być użytkownikiem lub jednostką usługi), identyfikatorem definicji roli i zakresem zasobu Microsoft Entra. Aby uzyskać więcej informacji na temat elementów przypisania roli, zobacz omówienie ról niestandardowych

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Następne kroki

• Eksplorowanie dostępnych uprawnień roli niestandardowej dla aplikacji dla przedsiębiorstw