Назначение ролей Microsoft Entra пользователям

Чтобы предоставить пользователям доступ к идентификатору Microsoft Entra, назначьте роли Microsoft Entra. Роль — это коллекция разрешений. В этой статье описывается назначение ролей Microsoft Entra с помощью Центра администрирования Microsoft Entra и PowerShell.

Необходимые компоненты

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью Центра администрирования Microsoft Entra. Ваш интерфейс будет отличаться в зависимости от того, включена ли управление привилегированными пользователями (PIM) Microsoft Entra.

Назначение роли

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к ролям удостоверений>и администраторам.>

    Снимок экрана: страница

  3. Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.

  4. Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.

    Снимок экрана: выбор роли.

  5. Щелкните элемент Добавить назначения и выберите пользователей, которых нужно назначить этой роли.

    Если на следующем рисунке вы видите что-то другое, возможно, вы включили PIM. См. следующий раздел.

    Снимок экрана: панель добавления назначений для выбранной роли.

    Примечание.

    Если вы назначаете встроенную роль Microsoft Entra гостевого пользователя, гостевой пользователь получит те же разрешения, что и пользователь-участник. Сведения о разрешениях участника и гостевого пользователя по умолчанию см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

  6. Щелкните команду Добавить, чтобы назначить роль.

Назначение роль с помощью PIM

Если у вас включена управление привилегированными пользователями (PIM) Microsoft Entra, у вас есть дополнительные возможности назначения ролей. Например, вы можете предоставить пользователю право на роль или установить продолжительность действия этого права. Если PIM включен, существует два способа назначения ролей с помощью Центра администрирования Microsoft Entra. Можно использовать страницу "Роли и администраторы" или интерфейс PIM. В любом случае используется одна и та же служба PIM.

Чтобы назначить роли с помощью страницы Роли и администраторы, выполните следующие действия. Если вы хотите назначить роли с помощью управление привилегированными пользователями, см. раздел "Назначение ролей Microsoft Entra" в управление привилегированными пользователями.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к ролям удостоверений>и администраторам.>

    Снимок экрана: страница

  3. Найдите нужную роль. Вы можете использовать поле поиска или добавить фильтры для фильтрации ролей.

  4. Выберите имя роли, чтобы открыть роль и просмотреть соответствующие, активные и просроченные назначения ролей. Не добавляйте флажок рядом с ролью.

    Снимок экрана: выбор роли.

  5. Щелкните Добавить назначения.

  6. Щелкните элемент Невыбранные участники и выберите пользователей, которым нужно назначить эту роль.

    Снимок экрана: страница

  7. Выберите Далее.

  8. На вкладке "Параметры" выберите, нужно ли сделать это назначение роли допустимым или активным.

    Назначение "допустимая" означает, что пользователь должен выполнить одно или несколько действий, чтобы использовать эту роль. Назначение "активная" означает, что пользователю не нужно предпринимать никаких действий для использования этой роли. Дополнительные сведения о значениях этих параметров приведены в разделе Терминология PIM.

    Снимок экрана: страница

  9. Используйте оставшиеся параметры, чтобы задать продолжительность назначения.

  10. Выберите Назначить, чтобы назначить роль.

PowerShell

Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью PowerShell.

Настройка

  1. Откройте окно PowerShell и используйте import-Module для импорта модуля Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. В окне PowerShell используйте Connect-MgGraph для входа в клиент.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Используйте Get-MgUser , чтобы получить пользователя, которому нужно назначить роль.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Назначение роли

  1. Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Чтобы назначить роль, используйте New-MgRoleManagementDirectoryRoleAssignment .

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Назначение роли в качестве допустимой с помощью PIM

Если PIM включена, у вас есть дополнительные возможности, такие как предоставление пользователю права на назначение роли или определение времени начала и окончания для назначения роли. В этих возможностях используется другой набор команд PowerShell. Дополнительные сведения об использовании PowerShell и PIM см. в разделе PowerShell для ролей Microsoft Entra в управление привилегированными пользователями.

  1. Используйте Get-MgRoleManagementDirectoryRoleDefinition , чтобы получить роль, которую вы хотите назначить.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Используйте следующую команду, чтобы создать хэш-таблицу для хранения всех необходимых атрибутов, необходимых для назначения роли пользователю. Идентификатор участника будет идентификатором пользователя, которому требуется назначить роль. В этом примере назначение будет допустимо только в течение 10 часов.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. Используйте New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest , чтобы назначить роль соответствующим образом. После назначения роли она будет отражена в Центре администрирования Microsoft Entra в разделе "Управление удостоверениями> управление привилегированными пользователями> ролейMicrosoft>Entra роли "Назначения подходящих> назначений".

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    API Microsoft Graph

    Выполните эти инструкции, чтобы назначить роль с помощью API Microsoft Graph.

    Назначение роли

    В этом примере субъекту безопасности с идентификатором objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb назначается роль администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe) в области клиента. Чтобы просмотреть список неизменяемых идентификаторов шаблонов ролей всех встроенных ролей, см. в статье о встроенных ролях Microsoft Entra.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Назначение роль с помощью PIM

    Назначение ролей с привязкой ко времени

    В этом примере субъекту безопасности с идентификатором objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb назначается ограниченное по времени на 180 дней роль как "допустимая" для администратора выставления счетов (идентификатор определения роли b0f54661-2d74-4c50-afa3-1ec803f12efe).

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Назначение постоянно доступных ролей

    В следующем примере субъекту безопасности назначается постоянное назначение роли как "допустимая" для администратора выставления счетов.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Активация назначения роли

    Чтобы активировать назначение ролей, используйте API Create roleAssignmentScheduleRequest.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    Дополнительные сведения об управлении ролями Microsoft Entra с помощью API PIM в Microsoft Graph см. в обзоре управления ролями с помощью API управления привилегированными пользователями (PIM).