Создание настраиваемой роли в идентификаторе Microsoft Entra

В этой статье описывается создание настраиваемой роли в идентификаторе Microsoft Entra с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph.

Для получения информации об основах пользовательских ролей см. в обзорепользовательских ролей. Роль может быть назначена либо только на уровне каталога, либо исключительно в области ресурса регистрации приложения. Сведения о максимальном количестве пользовательских ролей, которые можно создать в организации Microsoft Entra, см. в разделе лимитов и ограничений службы Microsoft Entra.

Необходимые условия

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

Центр администрирования

Создание настраиваемой роли

В этих шагах описано, как создать пользовательскую роль в Центре администрирования Microsoft Entra для управления регистрацией приложений.

Совет

Действия, описанные в этой статье, могут незначительно различаться в зависимости от портала, с которого вы начинаете.

1. Войдите в Центр администрирования Microsoft Entra как минимум какАдминистратор привилегированных ролей .

2. Перейдите к идентификация>роли администраторов &>роли администраторов &.

3. Выберите Создать настраиваемую роль.

   

4. На вкладке "Основные сведения" укажите имя и описание роли.

   Вы можете клонировать базовые разрешения из настраиваемой роли, но клонировать встроенную роль нельзя.

   

5. На вкладке Права выберите доступы, необходимые для управления базовыми свойствами и свойствами учетных данных в регистрации приложений. Для подробного описания каждого разрешения см. раздел подтипы регистрации приложений и разрешения в Microsoft Entra ID.

   1. Сначала введите "учетные данные" в строке поиска и выберите разрешение microsoft.directory/applications/credentials/update.

      

   2. Затем введите "базовый" в строке поиска, выберите разрешение microsoft.directory/applications/basic/update, а затем нажмите Далее.

6. На вкладке Просмотр и создание просмотрите разрешения и выберите Создать.

   Ваша пользовательская роль появится в списке доступных для назначения ролей.

PowerShell

Войти

Используйте команду Connect-MgGraph для входа в клиент.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Создание настраиваемой роли

Создайте новую роль с помощью следующего скрипта PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Обновление настраиваемой роли

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Удаление настраиваемой роли

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API

Создание настраиваемой роли

Выполните следующие действия.

1. Используйте Create unifiedRoleDefinition API для создания настраиваемой роли.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Тело

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Заметка

   "templateId": "GUID" — это необязательный параметр, который отправляется в тексте в зависимости от требования. Если у вас есть требование создать несколько различных пользовательских ролей с общими параметрами, рекомендуется создать шаблон и определить значение templateId. Заранее можно создать значение templateId с помощью командлета PowerShell (New-Guid).Guid.

2. Используйте Create unifiedRoleAssignment API для назначения настраиваемой роли.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Тело

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Связанное содержимое

• Назначать роли Microsoft Entra
• Встроенные роли Microsoft Entra
• Сравнение разрешений пользователя и гостевых пользователей по умолчанию