Назначение ролей Microsoft Entra

В этой статье описывается назначение ролей Microsoft Entra пользователям и группам с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph. В нем также описывается назначение ролей в различных областях, таких как клиент, регистрация приложений и области административных единиц.

Вы можете назначать пользователям как прямые, так и косвенные назначения ролей. Если пользователю назначена роль через членство в группе, включите пользователя в группу, чтобы установить назначение роли. Дополнительные сведения см. в статье Использование групп Microsoft Entra для управления назначениями ролей.

В идентификаторе Microsoft Entra роли обычно назначаются для применения ко всему клиенту. Однако можно также назначать роли Microsoft Entra для различных ресурсов, таких как регистрация приложений или административные единицы. Например, можно назначить роль администратора Helpdesk, чтобы она применялась только к определенной административной единице, а не ко всему арендатору. Ресурсы, к которым применяется назначение роли, также называются областью. Ограничение области назначения ролей поддерживается для встроенных и пользовательских ролей. Дополнительные сведения об области применения см. в разделе «Обзор управления доступом на основе ролей (RBAC) в Microsoft Entra ID».

Роли Microsoft Entra в PIM

Если у вас есть лицензия Microsoft Entra ID P2 и привилегированное управление удостоверениями (PIM), при назначении ролей у вас есть дополнительные возможности, такие как предоставление пользователю права на назначение ролей или определение времени начала и окончания назначения роли. Сведения о назначении ролей Microsoft Entra в PIM см. в следующих статьях:

Метод	Информация
Центр администрирования Microsoft Entra	Назначение ролей Microsoft Entra в управление привилегированными удостоверениями
Microsoft Graph PowerShell	руководство по . Назначение ролей Microsoft Entra в службе "Управление привилегированными пользователями" с помощью Microsoft Graph PowerShell
Microsoft Graph API	Управление назначениями ролей Microsoft Entra с помощью API PIM Назначение ролей Microsoft Entra в управлении привилегированными удостоверениями

Необходимые условия

• Администратор привилегированных ролей
• модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

Назначьте роли с областью арендатора

В этом разделе описывается, как назначать роли на уровне арендатора.

Центр администрирования

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с которого вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

2. Перейдите к Идентификация>Роли & администраторов>Роли & администраторов.

   

3. Выберите имя роли, чтобы открыть роль. Не добавляйте флажок рядом с ролью.

   

4. Выберите Добавить задания, а затем выберите пользователей или группы, которые вы хотите назначить этой роли.

   Отображаются только группы, которым можно назначить роли. Если группа не указана, необходимо создать группу с возможностью назначения ролей. Дополнительные сведения см. в статье о создании группы, которой можно назначить роль, в Microsoft Entra ID.

   Если ваш опыт работы отличается по сравнению со следующим снимком экрана, возможно, у вас есть учетная запись Microsoft Entra ID P2 и PIM. Дополнительные сведения см. в статье Назначение ролей Microsoft Entra вУправлении привилегированными идентификационными данными.

   

5. Выберите Добавить, чтобы назначить роль.

PowerShell

Выполните следующие действия, чтобы назначить роли Microsoft Entra с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в тенант.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Чтобы получить пользователя, используйте Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Используйте Get-MgGroup для получения группы, которой можно назначать роли.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Используйте Get-MgRoleManagementDirectoryRoleDefinition, чтобы получить роль, которую вы хотите назначить.

   Чтобы просмотреть список идентификаторов определений ролей для всех встроенных ролей Microsoft Entra, см. .

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Установите арендатора в качестве объекта назначения роли.

   $directoryScope = '/'
   

6. Используйте New-MgRoleManagementDirectoryRoleAssignment для назначения роли.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Вот еще один способ, которым вы можете назначить роль.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API

Следуйте этим инструкциям, чтобы назначить роль с помощью Microsoft Graph API в Обозревателе Graph.

1. Войдите в обозревателя графов.

2. Чтобы получить пользователя, используйте api List users.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Используйте группы списков API, чтобы получить группу, доступную для назначения ролей.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Используйте API List unifiedRoleDefinitions, чтобы получить роль, которую вы хотите назначить.

   Чтобы просмотреть список идентификаторов определений для всех встроенных ролей, см. встроенные роли Microsoft Entra.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Используйте API Create unifiedRoleAssignment для назначения роли.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Ответ

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Если определение субъекта или роли не существует, ответ не найден.

   Ответ

   HTTP/1.1 404 Not Found
   

Назначьте роли в области регистрации приложения

Встроенные роли и пользовательские роли по умолчанию назначаются на уровне арендатора, чтобы предоставить разрешения на доступ ко всем регистрациям приложений вашей организации. Кроме того, пользовательские роли и некоторые соответствующие встроенные роли (в зависимости от типа ресурса Microsoft Entra) также можно назначить в пределах одного ресурса Microsoft Entra. Это позволяет пользователю предоставить пользователю разрешение на обновление учетных данных и базовых свойств одного приложения без необходимости создавать вторую пользовательскую роль.

В этом разделе описывается назначение ролей в области регистрации приложения.

Центр администрирования

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Перейдите к Идентификация>Приложения>Регистрация приложений.

3. Выберите приложение. Поле поиска можно использовать для поиска нужного приложения.

   Возможно, вам потребуется выбрать Все приложения, чтобы просмотреть полный список регистраций приложений в вашем тенанте.

   

4. Выберите роли и администраторы в меню навигации слева, чтобы увидеть список всех ролей, которые можно назначить в рамках регистрации приложения.

   

5. Выберите нужную роль.

   Совет

   Здесь вы не увидите весь список встроенных или настраиваемых ролей Microsoft Entra. Это ожидается. Мы показываем роли, имеющие разрешения, связанные только с управлением регистрацией приложений.

6. Выберите Добавить назначения, а затем выберите пользователей или группы, которым нужно назначить эту роль.

   

7. Выберите Добавить, чтобы назначить роль, действие которой ограничено областью регистрации приложения.

PowerShell

Выполните следующие действия, чтобы назначить роли Microsoft Entra в области приложения с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в вашу учетную запись.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Чтобы получить пользователя, используйте Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Чтобы назначить роль субъекту-службе вместо пользователя, используйте команду Get-MgServicePrincipal.

4. Используйте Get-MgRoleManagementDirectoryRoleDefinition, чтобы получить роль, которую хотите назначить.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Используйте Get-MgApplication, чтобы получить регистрацию приложения, к которой вы хотите применить назначение роли.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Используйте New-MgRoleManagementDirectoryRoleAssignment для назначения роли.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API

Выполните следующие инструкции, чтобы назначить роль на уровне приложения с помощью API Microsoft Graph в Graph Explorer.

1. Войдите в обозреватель графов.

2. Чтобы получить пользователя, используйте api List users.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Используйте API List unifiedRoleDefinitions, чтобы получить роль, которую вы хотите назначить.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Используйте API для работы со списком приложений , чтобы получить приложение, на которое вы хотите ограничить назначение ролей.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Используйте API Create unifiedRoleAssignment, чтобы назначить роль.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Ответ

   HTTP/1.1 201 Created
   

   Заметка

   В этом примере directoryScopeId указывается как /<ID>, в отличие от раздела административной единицы. Это сделано специально. Область /<ID> означает, что субъект может управлять объектом Microsoft Entra. Область /administrativeUnits/<ID> означает, что ответственное лицо может управлять членами административной единицы (в зависимости от назначенной роли), а не самой административной единицей.

Назначение ролей в пределах административной единицы

В идентификаторе Microsoft Entra для более детального административного управления можно назначить роль Microsoft Entra с областью, которая ограничена одной или несколькими административными единицами. Если роль Microsoft Entra назначена в области административной единицы, разрешения роли применяются только при управлении членами самой административной единицы и не применяются к параметрам или конфигурациям на уровне клиента.

Например, администратор, которому назначена роль администратора групп в области администрирования, может управлять группами, которые являются членами административной единицы, но не могут управлять другими группами в клиенте. Они также не могут управлять параметрами уровня клиента, связанными с группами, такими как срок действия или политики именования групп.

Этот раздел описывает, как назначать роли Microsoft Entra в пределах области администрирования.

Необходимые условия

• Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
• Бесплатные лицензии microsoft Entra ID для членов административной единицы
• Администратор привилегированных ролей
• Модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

Роли, которые можно назначать с областью административной единицы

Следующие роли Microsoft Entra можно назначать в рамках административной единицы. Кроме того, любые настраиваемые роли могут быть назначены в пределах области административной единицы, если разрешения пользовательской роли включают как минимум одно разрешение, соответствующее пользователям, группам или устройствам.

Роль	Описание
Администратор аутентификации	Имеет доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя, не являющегося администратором, только в назначенной административной единице.
облачных устройств администратор	Ограниченный доступ к управлению устройствами в идентификаторе Microsoft Entra.
администратора групп	Может управлять всеми аспектами групп только в назначенной административной единице.
Администратор службы поддержки	Может сбрасывать пароли только для неадминистраторов в указанной административной единице.
администратор лицензий	Может назначать, удалять и обновлять назначения лицензий только в административной единице.
администратор паролей	Может сбрасывать пароли только для неадминистраторов в назначенной административной единице.
администратор принтера	Может управлять принтерами и соединителями принтера. Дополнительные сведения см. в разделе Делегирование администрирования принтеров в Universal Print.
Привилегированный администратор проверки подлинности	Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя (администратора или не администратора).
администратор SharePoint	Может управлять группами Microsoft 365 только в назначенной административной единице. Для сайтов SharePoint, связанных с группами Microsoft 365 в административной единице, также можно обновить свойства сайта (имя сайта, URL-адрес и внешнюю политику общего доступа) с помощью Центра администрирования Microsoft 365. Не удается использовать центр администрирования SharePoint или API SharePoint для управления сайтами.
администратор Teams	Может управлять группами Microsoft 365 только в назначенной административной единице. Может управлять участниками команды в Центре администрирования Microsoft 365 для управления командами, связанными с группами, только в назначенной административной единице. Не удается использовать Центр администрирования Teams.
Администратор устройств Teams	Может выполнять связанные с управлением задачи на сертифицированных устройствах Teams.
администратор пользователей	Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов только в назначенной административной единице. В настоящее время не удается управлять фотографиями профилей пользователей.
<Настраиваемая роль>	Может выполнять действия, которые применяются к пользователям, группам или устройствам в соответствии с определением настраиваемой роли.

Некоторые разрешения роли применяются только к пользователям-неадминистраторам, если они назначены в рамках административной единицы. Иными словами, администраторы службы поддержки могут сбрасывать пароли для пользователей административной единицы только в том случае, если у этих пользователей нет ролей администратора. Следующий список разрешений ограничен, если целевой объект действия является другим администратором:

• Чтение и изменение методов проверки подлинности пользователей или сброс паролей пользователей
• Изменение конфиденциальных свойств пользователей, таких как телефонные номера, альтернативные адреса электронной почты или секретные ключи Open Authorization (OAuth)
• Удаление или восстановление учетных записей пользователей

Принципы безопасности, которым можно назначить полномочия в пределах административной единицы

Следующие субъекты безопасности могут быть назначены на роль с областью административной единицы:

• Пользователи
• Группы Microsoft Entra с возможностью назначения ролей
• Субъекты-службы

Субъекты-службы и гостевые пользователи

Субъекты-службы и гостевые пользователи не смогут использовать назначение ролей в административной единице, если им также не назначены соответствующие разрешения для чтения объектов. Это связано с тем, что субъекты-службы и гостевые пользователи по умолчанию не получают разрешения на чтение каталога, необходимые для выполнения административных действий. Чтобы субъект-служба или гостевой пользователь могли использовать назначение ролей в административной единице, необходимо назначить роль Читатели каталогов (или другую роль, содержащую разрешения на чтение) на уровне арендатора.

В настоящее время невозможно предоставить разрешения на чтение каталога для административной единицы. Дополнительные сведения о разрешениях по умолчанию для пользователей см. в разрешениях пользователей по умолчанию.

Назначение ролей в пределах административной единицы

В этом разделе описывается, как назначать роли в рамках административной единицы.

Центр администрирования

1. Войдите в Центр администрирования Microsoft Entra в роли по крайней мере администратора привилегированных ролей .

2. Перейдите к идентификации>ролям & администраторов>единицам администрирования.

3. Выберите административную единицу.

   

4. Выберите Роли и администраторы в навигационном меню слева, чтобы просмотреть список всех ролей, доступных для назначения в административной единице.

   

5. Выберите нужную роль.

   Совет

   Здесь вы не увидите весь список встроенных или настраиваемых ролей Microsoft Entra. Это ожидается. Мы показываем роли, имеющие разрешения, связанные с объектами, поддерживаемыми в административной единице. Чтобы увидеть список объектов, поддерживаемых в административной единице, см. Административные единицы в Microsoft Entra ID.

6. Выберите Добавить назначения, а затем выберите пользователей или группы, которым нужно назначить эту роль.

7. Выберите Добавить, чтобы назначить роль в пределах административной единицы.

PowerShell

Выполните следующие действия, чтобы назначить роли Microsoft Entra в области администрирования с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или обозревателя Графов.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в клиент.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Чтобы получить пользователя, используйте Get-MgUser.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Используйте Get-MgRoleManagementDirectoryRoleDefinition, чтобы получить роль, которую вы хотите назначить.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Используйте Get-MgDirectoryAdministrativeUnit, чтобы получить административную единицу, к которой требуется применить назначение роли.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Используйте New-MgRoleManagementDirectoryRoleAssignment для назначения роли.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API

Следуйте этим инструкциям, чтобы с помощью API Microsoft Graph назначить роль на уровне административной единицы в Graph Explorer.

Назначение роли с помощью API Create unifiedRoleAssignment

1. Войдите в обозреватель графов.

2. Чтобы получить пользователя, используйте api List users.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Используйте API List unifiedRoleDefinitions, чтобы получить роль, которую вы хотите назначить.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Используйте API List administrativeUnits, чтобы получить административную единицу, для которой вы хотите определить область назначения роли.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Используйте API Create unifiedRoleAssignment для назначения роли.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Ответ

   HTTP/1.1 201 Created
   

   Если роль не поддерживается, ответ — неверный запрос.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Заметка

   В этом примере directoryScopeId указывается как /administrativeUnits/<ID>вместо /<ID>. Это предусмотрено. Область /administrativeUnits/<ID> означает, что субъект может управлять членами административной единицы (на основе роли, назначенной субъектом), а не самой административной единицей. Область /<ID> означает, что принципал может управлять самим объектом Microsoft Entra. В разделе регистрации приложений видно, что область указана как /<ID>, так как роль, связанная с регистрацией приложения, предоставляет полномочия управлять самим объектом.

Назначьте роль с помощью API Add a scopedRoleMember

Кроме того, можно использовать API Добавить scopedRoleMember для назначения роли с областью административной единицы.

Просьба

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Тело

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Дальнейшие действия

• Список назначений ролей Microsoft Entra
• Назначение ролей Microsoft Entra в разделе управления привилегированными удостоверениями
• использовать группы Microsoft Entra для управления назначениями ролей
• Устранение неполадок ролей Microsoft Entra, назначенных группам