Criar um papel personalizado no Microsoft Entra ID

Este artigo descreve como criar uma função personalizada na ID do Microsoft Entra usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph.

Para obter as noções básicas de funções personalizadas, consulte a visão geral das funções personalizadas . A função pode ser atribuída apenas no escopo do nível do diretório ou em um escopo do recurso de registro do aplicativo. Para obter informações sobre o número máximo de funções personalizadas que podem ser criadas em uma organização do Microsoft Entra, consulte limites e restrições de serviço do Microsoft Entra.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID
• Administrador de Função Privilegiada
• Módulo do Microsoft Graph PowerShell ao usar o PowerShell
• Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de Administração

Criar uma função personalizada

Estas etapas descrevem como criar uma função personalizada no Centro de administração do Microsoft Entra para gerenciar registros de aplicativo.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Identidade>Funções e administradores>Funções e administradores.

3. Selecione Nova função personalizada.

   

4. Na guia Básico, forneça um nome e uma descrição para a função.

   Você pode clonar as permissões de linha de base de uma função personalizada, mas não pode clonar uma função interna.

   

5. Na guia Permissões, selecione as permissões necessárias para gerenciar propriedades básicas e propriedades de credenciais dos registros de aplicativos. Para obter uma descrição detalhada de cada permissão, consulte Subtipos e permissões de registro de aplicativo no Microsoft Entra ID.

   1. Primeiro, insira "credenciais" na barra de pesquisa e selecione a permissão microsoft.directory/applications/credentials/update.

      

   2. Em seguida, insira "básico" na barra de pesquisa, selecione a permissão microsoft.directory/applications/basic/update e clique em Avançar.

6. Na guia Revisar + criar, examine as permissões e selecione Criar.

   Sua função personalizada aparecerá na lista de funções disponíveis a serem atribuídas.

PowerShell

Entrar

Use o comando Connect-MgGraph para entrar em seu locatário.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Criar uma função personalizada

Crie uma nova função usando o seguinte script do PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Atualizar uma função personalizada

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Excluir uma função personalizada

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

API do Graph

Criar uma função personalizada

Siga estas etapas:

1. Use a API Criar unifiedRoleDefinition para criar uma função personalizada.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Corpo

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Nota

   O "templateId": "GUID" é um parâmetro opcional que é enviado no corpo da solicitação, dependendo da necessidade. Se você tiver um requisito para criar várias funções personalizadas diferentes com parâmetros comuns, é melhor criar um modelo e definir um valor templateId. Você pode gerar um valor templateId com antecedência usando o cmdlet do PowerShell (New-Guid).Guid.

2. Para atribuir a função personalizada, utilize a API Create unifiedRoleAssignment.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Corpo

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Conteúdo relacionado

• Atribuir funções do Microsoft Entra
• Funções integradas do Microsoft Entra
• Comparação das permissões padrão de usuários convidados e membros