Чтобы предоставить пользователям доступ к идентификатору Microsoft Entra, назначьте роли Microsoft Entra. Роль — это коллекция разрешений. В этой статье описывается назначение ролей Microsoft Entra с помощью Центра администрирования Microsoft Entra и PowerShell.
Назначение ролей Microsoft Entra пользователям
Необходимые компоненты
- Администратор привилегированных ролей. Сведения о том, кто является администратором привилегированных ролей, см. в разделе "Список назначений ролей Microsoft Entra"
- Лицензия Microsoft Entra ID P2 при использовании управление привилегированными пользователями (PIM)
- Модуль Microsoft Graph PowerShell при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для API Microsoft Graph.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью Центра администрирования Microsoft Entra. Ваш интерфейс будет отличаться в зависимости от того, включена ли управление привилегированными пользователями (PIM) Microsoft Entra.
Назначение роли
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и администраторам.>
Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.
Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.
Щелкните элемент Добавить назначения и выберите пользователей, которых нужно назначить этой роли.
Если на следующем рисунке вы видите что-то другое, возможно, вы включили PIM. См. следующий раздел.
Примечание.
Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?
Щелкните команду Добавить, чтобы назначить роль.
Назначение роль с помощью PIM
Если у вас включена управление привилегированными пользователями (PIM) Microsoft Entra, у вас есть дополнительные возможности назначения ролей. Например, вы можете предоставить пользователю право на роль или установить продолжительность действия этого права. Если PIM включен, существует два способа назначения ролей с помощью Центра администрирования Microsoft Entra. Можно использовать страницу "Роли и администраторы" или интерфейс PIM. В любом случае используется одна и та же служба PIM.
Чтобы назначить роли с помощью страницы Роли и администраторы, выполните следующие действия. Если вы хотите назначить роли с помощью управление привилегированными пользователями, см. раздел "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к ролям удостоверений>и администраторам.>
Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.
Выберите имя роли, чтобы открыть роль и просмотреть соответствующие, активные и просроченные назначения ролей. Не добавляйте флажок рядом с ролью.
Щелкните Добавить назначения.
Щелкните элемент Невыбранные участники и выберите пользователей, которым нужно назначить эту роль.
Выберите Далее.
На вкладке "Параметры" выберите, нужно ли сделать это назначение роли допустимым или активным.
Назначение "допустимая" означает, что пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль. Назначение "активная" означает, что пользователю не нужно предпринимать никаких действий для использования этой роли. Дополнительные сведения о значениях этих параметров приведены в разделе Терминология PIM.
Используйте оставшиеся параметры, чтобы задать продолжительность назначения.
Выберите Назначить, чтобы назначить роль.
PowerShell
Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью PowerShell.
Настройка
Откройте окно PowerShell и используйте import-Module для импорта модуля Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Import-Module -Name Microsoft.Graph.Identity.Governance -Force
В окне PowerShell используйте Connect-MgGraph для входа в клиент.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Используйте Get-MgUser , чтобы получить пользователя, которому нужно назначить роль.
$user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
Назначение роли
Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
Чтобы назначить роль, используйте New-MgRoleManagementDirectoryRoleAssignment .
$roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Назначение роли в качестве допустимой с помощью PIM
Если PIM включена, у вас есть дополнительные возможности, такие как предоставление пользователю права на назначение роли или определение времени начала и окончания для назначения роли. В этих возможностях используется другой набор команд PowerShell. Дополнительные сведения об использовании PowerShell и PIM см. в разделе PowerShell для ролей Microsoft Entra в управление привилегированными пользователями.
Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
Используйте следующую команду, чтобы создать хэш-таблицу для хранения всех необходимых атрибутов, необходимых для назначения роли пользователю. Идентификатор участника будет идентификатором пользователя, которому требуется назначить роль. В этом примере назначение будет допустимо только в течение 10 часов.
$params = @{ "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222" "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe" "Justification" = "Add eligible assignment" "DirectoryScopeId" = "/" "Action" = "AdminAssign" "ScheduleInfo" = @{ "StartDateTime" = Get-Date "Expiration" = @{ "Type" = "AfterDuration" "Duration" = "PT10H" } } }
Используйте New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest , чтобы назначить роль соответствующим образом. После назначения роли она будет отражена в Центре администрирования Microsoft Entra в разделе "Управление удостоверениями> управление привилегированными пользователями> ролейMicrosoft>Entra роли "Назначения подходящих> назначений".
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
API Microsoft Graph
Выполните эти инструкции, чтобы назначить роль с помощью API Microsoft Graph.
Назначение роли
В этом примере субъекту безопасности с идентификатором objectID
aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
назначается роль администратора выставления счетов (идентификатор определения ролиb0f54661-2d74-4c50-afa3-1ec803f12efe
) в области клиента. Чтобы просмотреть список неизменяемых идентификаторов шаблонов ролей всех встроенных ролей, см. в статье о встроенных ролях Microsoft Entra.POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments Content-type: application/json { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "directoryScopeId": "/" }
Назначение роль с помощью PIM
Назначение ролей с привязкой ко времени
В этом примере субъекту безопасности с идентификатором objectID
aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
назначается ограниченное по времени на 180 дней роль как "допустимая" для администратора выставления счетов (идентификатор определения ролиb0f54661-2d74-4c50-afa3-1ec803f12efe
).POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "afterDuration", "duration": "PT180D" } } }
Назначение постоянно доступных ролей
В следующем примере субъекту безопасности назначается постоянное назначение роли как "допустимая" для администратора выставления счетов.
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "noExpiration" } } }
Активация назначения роли
Чтобы активировать назначение ролей, используйте API Create roleAssignmentScheduleRequest.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests Content-type: application/json { "action": "selfActivate", "justification": "activating role assignment for admin privileges", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222" }
Дополнительные сведения об управлении ролями Microsoft Entra с помощью API PIM в Microsoft Graph см. в обзоре управления ролями с помощью API управления привилегированными пользователями (PIM).