Создание пользовательских ролей для управления корпоративными приложениями в идентификаторе Microsoft Entra

В этой статье объясняется, как создать пользовательскую роль с разрешениями на управление назначениями корпоративных приложений для пользователей и групп в идентификаторе Microsoft Entra. Сведения об элементах назначений ролей и значении терминов, таких как подтип, разрешение и набор свойств, см. в обзоре настраиваемых ролей.

Необходимые компоненты

• Лицензия Microsoft Entra ID P1 или P2
• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Разрешения ролей корпоративных приложений

В этой статье будут рассмотрены два разрешения корпоративного приложения. Во всех примерах используется разрешение на обновление.

• Чтобы считать назначения пользователей и групп в области, предоставьте разрешение microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Чтобы управлять назначениями пользователей и групп в области, предоставьте разрешение microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Предоставление разрешения на обновление позволяет назначенному пользователю управлять назначениями пользователей и групп для корпоративных приложений. Область назначений пользователей и (или) групп может быть предоставлена для одного или для всех приложений. Если предоставить разрешение на уровне всей организации, уполномоченный сможет управлять назначениями для всех приложений. Если же на уровне приложения, уполномоченный сможет управлять назначениями только для указанного приложения.

Предоставление разрешения на обновление выполняется в два этапа:

1. Создайте настраиваемую роль с разрешением microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Предоставьте пользователям или группам разрешения на управление назначениями пользователей и групп для корпоративных приложений. Это можно сделать в том случае, если областью действия является вся организация или одно приложение.

Центр администрирования

Создание настраиваемой роли

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В Центре администрирования Microsoft Entra можно создавать пользовательские роли и управлять ими для управления доступом и разрешениями для корпоративных приложений.

Примечание.

Настраиваемые роли создаются и управляются на уровне всей организации и доступны только на странице "Обзор" организации.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите новую настраиваемую роль.

   

4. На вкладке "Основные сведения" укажите "Управление назначениями пользователей и групп" для имени роли и "Предоставление разрешений на управление назначениями пользователей и групп" для описания роли, а затем нажмите кнопку "Далее".

   

5. На вкладке "Разрешения" в поле поиска введите "microsoft.directory/servicePrincipals/appRoleAssignedTo/update", установите флажки рядом с нужными разрешениями, а затем нажмите кнопку "Далее".

   

6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

   

Назначение роли пользователю с помощью Центра администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к ролям удостоверений>и администраторам.>

3. Выберите роль "Управление назначениями пользователей и групп".

   

4. Выберите Добавить назначение, выберите нужного пользователя и нажмите кнопку Выбрать, чтобы добавить назначение роли пользователю.

   

Советы по назначению

• Чтобы предоставить пользователям разрешения на управление доступом пользователей и групп для всех корпоративных приложений, начните со списка ролей и администраторов всей организации на странице обзора идентификатора Microsoft Entra для вашей организации.

• Чтобы предоставить пользователям разрешения на управление доступом пользователей и групп для конкретного корпоративного приложения, перейдите к приложению в идентификаторе Microsoft Entra и откройте в списке ролей и администраторов для этого приложения. Выберите новую настраиваемую роль и укажите сведения для назначения пользователя или группы. Уполномоченные могут управлять доступом пользователей и групп только для конкретного приложения.

• Чтобы проверить назначение настраиваемой роли, войдите как уполномоченный и откройте страницу приложения Пользователи и группы, чтобы убедиться, что параметр Добавить пользователя включен.

  

PowerShell

Для получения дополнительной информации см. Создание настраиваемой роли в Microsoft Entra ID и Назначение ролей Microsoft Entra.

Создание пользовательской роли

Создайте роль с помощью следующего сценария PowerShell:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Назначение настраиваемой роли

Назначьте роль с помощью этого сценария PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph API

Используйте API Create unifiedRoleDefinition для создания настраиваемой роли. Подробную информацию см. в разделах Создание настраиваемой роли в Microsoft Entra ID и Назначение ролей Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Назначение настраиваемой роли с помощью API Microsoft Graph

Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment. Назначение роли объединяет идентификатор субъекта безопасности (который может быть пользователем или субъектом-службой), идентификатор определения роли и область ресурса Microsoft Entra. Дополнительные сведения об элементах назначения ролей см. в общих сведениях о настраиваемых ролях.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Следующие шаги

• Просмотр доступных разрешений настраиваемой роли для корпоративных приложений