Создание пользовательских ролей для управления корпоративными приложениями в идентификаторе Microsoft Entra

В этой статье объясняется, как создать пользовательскую роль с разрешениями на управление назначениями корпоративных приложений для пользователей и групп в идентификаторе Microsoft Entra. Сведения об элементах назначений ролей и значении терминов, таких как подтип, разрешение и набор свойств, см. в обзоре настраиваемых ролей.

Предварительные условия

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или Graph Explorer.

Разрешения ролей корпоративных приложений

В этой статье будут рассмотрены два разрешения корпоративного приложения. Во всех примерах используется разрешение на обновление.

• Чтобы просмотреть назначения пользователей и групп в области, предоставьте разрешение microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Чтобы управлять назначениями пользователей и групп в указанной области, предоставьте разрешение microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Предоставление разрешения на обновление позволяет назначенному пользователю управлять назначениями пользователей и групп для корпоративных приложений. Область назначений пользователей и (или) групп может быть предоставлена для одного или для всех приложений. Если предоставить право на уровне всей организации, назначенный пользователь сможет управлять заданиями для всех программ. Если на уровне приложения, назначенный сможет управлять назначениями только для указанного приложения.

Предоставление разрешения на обновление выполняется в два этапа:

1. Создайте настраиваемую роль с правами доступа microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Предоставьте пользователям или группам разрешения на управление назначениями пользователей и групп для корпоративных приложений. Это можно сделать в том случае, если областью действия является вся организация или одно приложение.

Центр администрирования

Создание настраиваемой роли

В Центре администрирования Microsoft Entra можно создавать пользовательские роли и управлять ими для управления доступом и разрешениями для корпоративных приложений.

Примечание.

Настраиваемые роли создаются и управляются на уровне всей организации и доступны только на странице "Обзор" организации.

1. Авторизуйтесь в Центр администрирования Microsoft Entra как минимум как Администратор привилегированных ролей.

2. Перейдите к Идентификация>Роли и администраторы>Роли и администраторы.

3. Выберите новую настраиваемую роль.

   

4. На вкладке "Основные сведения" укажите "Управление назначениями пользователей и групп" для имени роли и "Предоставление разрешений на управление назначениями пользователей и групп" для описания роли, а затем нажмите кнопку "Далее".

   

5. На вкладке "Разрешения" в поле поиска введите "microsoft.directory/servicePrincipals/appRoleAssignedTo/update", установите флажки рядом с нужными разрешениями, а затем нажмите кнопку "Далее".

   

6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

   

Назначение роли пользователю с помощью Центра администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra по крайней мере в роли администратора привилегированных ролей.

2. Перейдите к Удостоверение личности>Роли и администраторы>Роли и администраторы.

3. Выберите роль "Управление назначениями пользователей и групп".

   

4. Выберите Добавить назначение, выберите нужного пользователя и нажмите кнопку Выбрать, чтобы добавить назначение роли пользователю.

   

Советы по выполнению заданий

• Чтобы предоставить названным лицам разрешения на управление пользователями и доступом групп для всех корпоративных приложений на уровне всей организации, начните со списка Ролей и Администраторов для всей организации на странице Обзор в Microsoft Entra ID для вашей организации.

• Чтобы предоставить пользователям разрешения на управление доступом пользователей и групп для конкретного корпоративного приложения, перейдите к приложению в идентификаторе Microsoft Entra и откройте в списке ролей и администраторов для этого приложения. Выберите новую настраиваемую роль и завершите назначение пользователя или группы. Уполномоченные могут управлять доступом пользователей и групп только для конкретного приложения.

• Чтобы проверить назначение настраиваемой роли, войдите как уполномоченный и откройте страницу приложения Пользователи и группы, чтобы убедиться, что параметр Добавить пользователя включен.

  

PowerShell

Для получения дополнительной информации см. Создание настраиваемой роли в Microsoft Entra ID и Назначение ролей Microsoft Entra.

Создание пользовательской роли

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Назначение настраиваемой роли

Назначьте роль с помощью этого сценария PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph API

Используйте API Create unifiedRoleDefinition для создания настраиваемой роли. Подробную информацию см. в разделах Создание настраиваемой роли в Microsoft Entra ID и Назначение ролей Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Назначение настраиваемой роли с помощью API Microsoft Graph

Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment. Назначение роли объединяет идентификатор субъекта безопасности (который может быть пользователем или субъектом-службой), идентификатор определения роли и область ресурса Microsoft Entra. Дополнительные сведения об элементах назначения ролей см. в общих сведениях о настраиваемых ролях.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Следующие шаги

• Просмотр доступных разрешений настраиваемой роли для корпоративных приложений