Tilldela Microsoft Entra-roller

Den här artikeln beskriver hur du tilldelar Microsoft Entra-roller till användare och grupper med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API. Det beskriver också hur du tilldelar roller på olika nivåer, till exempel klientorganisation, programregistrering och administrativa enheters omfång.

Du kan tilldela både direkta och indirekta rolltilldelningar till en användare. Om en användare tilldelas en roll av ett gruppmedlemskap lägger du till användaren i gruppen för att lägga till rolltilldelningen. Mer information finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar.

I Microsoft Entra-ID tilldelas roller vanligtvis att gälla för hela klientorganisationen. Du kan dock även tilldela Microsoft Entra-roller för olika resurser, till exempel programregistreringar eller administrativa enheter. Du kan till exempel tilldela rollen Supportadministratör så att den bara gäller för en viss administrativ enhet och inte hela klientorganisationen. De resurser som en rolltilldelning gäller för kallas även omfånget. Begränsning av omfånget för en rolltilldelning stöds för inbyggda och anpassade roller. Mer information om omfång finns i Översikt över rollbaserad åtkomstkontroll (RBAC) i Microsoft Entra ID.

Microsoft Entra-roller i PIM

Om du har en Microsoft Entra ID P2-licens och Privileged Identity Management (PIM)har du ytterligare funktioner när du tilldelar roller, till exempel att göra en användare berättigad till en rolltilldelning eller definiera start- och sluttiden för en rolltilldelning. Information om hur du tilldelar Microsoft Entra-roller i PIM finns i följande artiklar:

Metod	Information
Administrationscenter för Microsoft Entra	Tilldela Microsoft Entra-roller i Privilegierad identitetshantering
Microsoft Graph PowerShell	Självstudie: Tilldela Microsoft Entra-roller i Privileged Identity Management med Microsoft Graph PowerShell
Microsoft Graph API	Hantera Microsoft Entra-rolltilldelningar med hjälp av PIM-API:er Tilldela Microsoft Entra-roller i Privilegierad Identitetshantering

Förutsättningar

• Privilegierad rolladministratör
• Microsoft Graph PowerShell modul när du använder PowerShell
• Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Tilldela roller med tenantomfång

I det här avsnittet beskrivs hur du tilldelar roller i klientomfånget.

Administrationscenter

Tips

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Identity>Roller & administratörer>Roller & administratörer.

   

3. Välj ett rollnamn för att öppna rollen. Lägg inte till någon bock bredvid rollen.

   

4. Välj Lägg till tilldelningar och välj sedan de användare eller grupper som du vill tilldela till den här rollen.

   Endast rolltilldelningsbara grupper visas. Om en grupp inte visas måste du skapa en rolltilldelningsbar grupp. Mer information finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra ID.

   Om din upplevelse skiljer sig från följande skärmbild kan du ha Microsoft Entra ID P2 och PIM. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.

   

5. Välj Lägg till för att tilldela rollen.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller med hjälp av PowerShell.

1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

   Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
   

3. Använd Get-MgUser för att hämta användaren.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Använd Get-MgGroup för att hämta den rolltilldelningsbara gruppen.

   $group = Get-MgGroup -Filter "DisplayName eq 'Contoso Helpdesk'"
   

4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att få den roll som du vill tilldela.

   Om du vill se listan över rolldefinitions-ID:er för alla inbyggda roller, se Microsoft Entras inbyggda roller.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
   

5. Ange hyresgästen som omfattning för rolltilldelning.

   $directoryScope = '/'
   

6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $group.Id `
       -RoleDefinitionId $roleDefinition.Id
   

   Här är ett annat sätt att tilldela en roll.

   $params = @{
      "directoryScopeId" = "/" 
      "principalId" = $group.Id
      "roleDefinitionId" = $roleDefinition.Id
   }
   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
   

Graph API

Följ dessa instruktioner för att tilldela en roll med hjälp av Microsoft Graph API i Graph Explorer.

1. Logga in på Graph Explorer.

2. Använd List Users API för att hämta användaruppgifterna.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

   Använd Listgrupper API för att hämta en grupp för rolltilldelning.

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'Contoso Helpdesk'
   

3. Använd List unifiedRoleDefinitions API för att hämta den roll som du vill tilldela.

   Om du vill se listan över rolldefinitions-ID:er för alla inbyggda roller kan du läsa Microsoft Entra inbyggda roller.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
   

4. Använd API:t Create unifiedRoleAssignment för att tilldela rollen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user or group>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/"
   }
   

   Svar

   HTTP/1.1 201 Created
   Content-type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignments/$entity",
       "id": "<Role assignment ID>",
       "roleDefinitionId": "<ID of role definition>",
       "principalId": "<Object ID of user or group>",
       "directoryScopeId": "/"
   }
   

   Om huvud- eller rolldefinitionen inte finns, hittas inte svaret.

   Svar

   HTTP/1.1 404 Not Found
   

Tilldela roller med appregistreringsomfång

Inbyggda roller och anpassade roller tilldelas som standard i klientomfånget för att bevilja åtkomstbehörigheter för alla appregistreringar i din organisation. Dessutom kan anpassade roller och vissa relevanta inbyggda roller (beroende på typen av Microsoft Entra-resurs) också tilldelas i omfånget för en enda Microsoft Entra-resurs. På så sätt kan du ge användaren behörighet att uppdatera autentiseringsuppgifter och grundläggande egenskaper för en enskild app utan att behöva skapa en andra anpassad roll.

I det här avsnittet beskrivs hur du tilldelar roller i ett programregistreringsomfång.

Administratörscenter

1. Logga in på administrationscentret för Microsoft Entra med åtminstone rollen Applikationsutvecklare.

2. Bläddra till Identity>Applications>Appregistreringar.

3. Välj ett program. Du kan använda sökrutan för att hitta önskad app.

   Du kan behöva välja Alla program för att se den fullständiga listan över appregistreringar i din klientorganisation.

   

4. Välj Roller och administratörer från den vänstra navigeringsmenyn för att se listan över alla roller som ska tilldelas över appregistreringen.

   

5. Välj önskad roll.

   Tips

   Du ser inte hela listan över inbyggda eller anpassade Roller i Microsoft Entra här. Detta är förväntat. Vi visar de roller som endast har behörighet att hantera appregistreringar.

6. Välj Lägg till tilldelningar och välj sedan de användare eller grupper som du vill tilldela rollen till.

   

7. Välj Lägg till för att tilldela rollen som är begränsad till appregistreringen.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller i programomfånget med hjälp av PowerShell.

1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klient.

   Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Använd Get-MgUser för att hämta användaren.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

   Om du vill tilldela rollen till ett huvudnamn för tjänsten i stället för en användare använder du kommandot Get-MgServicePrincipal.

4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att få den roll som du vill tilldela.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'Application Administrator'"
   

5. Använd Get-MgApplication- för att hämta den appregistrering som du vill att rolltilldelningen ska begränsas till.

   $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
   $directoryScope = '/' + $appRegistration.Id
   

6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id 
   

Graph API

Följ de här anvisningarna för att tilldela en roll i programomfånget med hjälp av Microsoft Graph API i Graph Explorer.

1. Logga in på Graph Explorer.

2. Använd List users API för att hämta användaren.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Använd List unifiedRoleDefinitions API för att hämta den roll som du vill tilldela.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
   

4. Använd List-program API för att hämta det program som du vill att rolltilldelningen ska begränsas till.

   GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
   

5. Använd Skapa unifiedRoleAssignment API för att tilldela rollen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/<Object ID of app registration>"
   }
   

   Svar

   HTTP/1.1 201 Created
   

   Anteckning

   I det här exemplet anges directoryScopeId som /<ID>, till skillnad från avsnittet administrativ enhet. Det är avsiktligt. Omfånget för /<ID> innebär att huvudansvarig kan hantera det objektet i Microsoft Entra. Omfånget /administrativeUnits/<ID> innebär att huvudmannen kan hantera medlemmarna i den administrativa enheten (baserat på den roll som huvudmannen tilldelas), inte själva den administrativa enheten.

Tilldela roller inom en administrativ enhet

För mer detaljerad administrativ kontroll i Microsoft Entra-ID kan du tilldela en Microsoft Entra-roll med ett omfång som är begränsat till en eller flera administrativa enheter. När en Microsoft Entra-roll tilldelas i omfånget för en administrativ enhet gäller rollbehörigheter endast när du hanterar medlemmar i själva den administrativa enheten och gäller inte för inställningar eller konfigurationer för hela klientorganisationen.

En administratör som till exempel har tilldelats rollen Gruppadministratör i omfånget för en administrativ enhet kan hantera grupper som är medlemmar i den administrativa enheten, men de kan inte hantera andra grupper i klientorganisationen. De kan inte heller hantera inställningar på klientorganisationsnivå som är relaterade till grupper, till exempel principer för förfallodatum eller namngivning av grupper.

I det här avsnittet beskrivs hur du tilldelar Microsoft Entra-roller med omfång för administrativa enheter.

Förutsättningar

• Microsoft Entra ID P1- eller P2-licens för varje administratör för administrativa enheter
• Kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar
• Privilegierad rolladministratör
• Microsoft Graph PowerShell-modul när du använder PowerShell
• Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Roller som kan tilldelas inom ramarna för administrativa enheter

Följande Microsoft Entra-roller kan tilldelas med administrativ enhetsomfång. Dessutom kan alla anpassade roll tilldelas på administrativ enhetsnivå så länge behörigheterna för den anpassade rollen innehåller minst en behörighet som är relevant för användare, grupper eller enheter.

Roll	Beskrivning
autentiseringsadministratör	Har åtkomst till att visa, ange och återställa autentiseringsmetodinformation för alla användare som inte är administratörer i den tilldelade administrativa enheten.
Administratör för molnenheter	Begränsad åtkomst till att hantera enheter i Microsoft Entra-ID.
administratör för grupper	Kan endast hantera alla aspekter av grupper i den tilldelade administrativa enheten.
Supportadministratör	Kan bara återställa lösenord för icke-administratörer i den tilldelade administrativa enheten.
Licensadministratör	Kan endast tilldela, ta bort och uppdatera licenstilldelningar inom den administrativa enheten.
lösenordsadministratör	Kan bara återställa lösenord för icke-administratörer inom den tilldelade administrativa enheten.
skrivaradministratör	Kan hantera skrivare och skrivaranslutningar. Mer information finns i Delegera administration av skrivare i Universal Print.
Administratör för privilegierad autentisering	Kan komma åt att visa, ange och återställa autentiseringsmetodinformation för alla användare (administratör eller icke-administratör).
SharePoint-administratör	Kan endast hantera Microsoft 365-grupper i den tilldelade administrativa enheten. För SharePoint-webbplatser som är associerade med Microsoft 365-grupper i en administrativ enhet kan även uppdatera webbplatsegenskaper (webbplatsnamn, URL och extern delningsprincip) med hjälp av administrationscentret för Microsoft 365. Det går inte att använda Administrationscenter för SharePoint eller SharePoint-API:er för att hantera webbplatser.
Teams-administratör	Kan endast hantera Microsoft 365-grupper i den tilldelade administrativa enheten. Kan endast hantera gruppmedlemmar i administrationscentret för Microsoft 365 för grupper som är associerade med grupper i den tilldelade administrativa enheten. Det går inte att använda administrationscentret för Teams.
Teams-enhetsadministratör	Kan utföra hanteringsrelaterade uppgifter på Teams-certifierade enheter.
användaradministratör	Kan hantera alla aspekter av användare och grupper, inklusive återställning av lösenord för begränsade administratörer inom den tilldelade administrativa enheten. Det går för närvarande inte att hantera användarnas profilfotografier.
<Anpassad roll>	Kan utföra åtgärder som gäller för användare, grupper eller enheter enligt definitionen av den anpassade rollen.

Vissa rollbehörigheter gäller endast för icke-administratörsanvändare när de tilldelas till omfånget för en administrativ enhet. Med andra ord kan administrativa enheter som är begränsade supportadministratörer bara återställa lösenord för användare i den administrativa enheten om dessa användare inte har administratörsroller. Följande lista över behörigheter begränsas när målet för en åtgärd är en annan administratör:

• Läsa och ändra användarautentiseringsmetoder eller återställa användarlösenord
• Ändra känsliga användaregenskaper som telefonnummer, alternativa e-postadresser eller OAuth-hemliga nycklar (Open Authorization)
• Ta bort eller återställa användarkonton

Säkerhetsprincipaler som kan tilldelas administrativt enhetsomfång

Följande säkerhetsprinciper kan tilldelas till en roll med enhetlig administrativ omfattning:

• Användare
• Microsoft Entra-rolltilldelningsbara grupper
• Tjänstens huvudnamn

Tjänstens huvudansvariga och gästanvändare

Tjänstehuvudprinciper och gästanvändare kan inte använda en rolltilldelning som omfattar en administrativ enhet om de inte också har tilldelats nödvändiga behörigheter för att läsa dessa objekt. Detta beror på att tjänstprincipaler och gästanvändare inte får katalogläsningsbehörigheter som standardinställning, vilka krävs för att utföra administrativa åtgärder. Om du vill att tjänstens principal eller gästanvändare ska kunna använda en rolltilldelning som är begränsad till en administrativ enhet måste du tilldela Katalogläsare rollen (eller en annan roll som innehåller läsbehörigheter) på en klientnivå.

Det går för närvarande inte att tilldela katalogläsningsbehörigheter som är begränsade till en administrativ enhet. Mer information om standardbehörigheter för användare finns i standardanvändarbehörigheter.

Tilldela roller med administrativ enhetsomfång

I det här avsnittet beskrivs hur du tilldelar roller i omfånget för administrativa enheter.

Administrationscenter

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Identity>Roles & admins>Admin units.

3. Välj en administrativ enhet.

   

4. Välj Roller och administratörer från den vänstra navigeringsmenyn för att se listan över alla roller som ska tilldelas via en administrativ enhet.

   

5. Välj önskad roll.

   Tips

   Du ser inte hela listan över inbyggda eller anpassade Roller i Microsoft Entra här. Detta är förväntat. Vi visar de roller som har behörigheter relaterade till de objekt som stöds i den administrativa enheten. En lista över objekt som stöds i en administrativ enhet finns i Administrativa enheter i Microsoft Entra ID.

6. Välj Lägg till tilldelningar och välj sedan de användare eller grupper som du vill tilldela rollen till.

7. Välj Lägg till för att tilldela rollen som är begränsad till den administrativa enheten.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller i omfånget för administrativa enheter med hjälp av PowerShell.

1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

   Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
   

3. Använd Get-MgUser för att hämta användaren.

   $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
   

4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att få den roll som du vill tilldela.

   $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
      -Filter "displayName eq 'User Administrator'"
   

5. Använd Get-MgDirectoryAdministrativeUnit för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

   $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
   $directoryScope = '/administrativeUnits/' + $adminUnit.Id
   

6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

   $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
      -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
      -RoleDefinitionId $roleDefinition.Id
   

Graph API

Följ de här anvisningarna om du vill tilldela en roll i det administrativa enhetsomfånget med hjälp av Microsoft Graph API i Graph Explorer.

Tilldela roll med hjälp av Create unifiedRoleAssignment API

1. Logga in på Graph Explorer.

2. Använd List users API för att hämta användaren.

   GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
   

3. Använd List unifiedRoleDefinitions API för att hämta den roll som du vill tilldela.

   GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
   

4. Använd List administrativeUnits API för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

   GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
   

5. Använd kommandot Skapa unifiedRoleAssignment API för att tilldela rollen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   {
       "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
       "principalId": "<Object ID of user>",
       "roleDefinitionId": "<ID of role definition>",
       "directoryScopeId": "/administrativeUnits/<Object ID of administrative unit>"
   }
   

   Svar

   HTTP/1.1 201 Created
   

   Om rollen inte stöds är svaret en felaktig begäran.

   HTTP/1.1 400 Bad Request
   {
       "odata.error":
       {
           "code":"Request_BadRequest",
           "message":
           {
               "message":"The given built-in role is not supported to be assigned to a single resource scope."
           }
       }
   }
   

   Anteckning

   I det här exemplet anges directoryScopeId som /administrativeUnits/<ID>i stället för /<ID>. Det är avsiktligt. Omfånget /administrativeUnits/<ID> innebär att huvudkontot kan hantera medlemmarna i den administrativa enheten (baserat på den roll som huvudkontot har tilldelats), inte själva den administrativa enheten. Omfånget för /<ID> innebär att huvudansvarig kan hantera Microsoft Entra-objektet självt. I avsnittet appregistrering ser du att omfånget är /<ID> eftersom en roll som är begränsad till en appregistrering ger behörighet att hantera själva objektet.

Tilldela roll med hjälp av Lägg till ett scopedRoleMember-API

Du kan också använda Lägg till ett scopedRoleMember API för att tilldela en roll med administrativt enhetsomfång.

Begäran

POST /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Kropp

{
  "roleId": "roleId-value",
  "roleMemberInfo": {
    "id": "id-value"
  }
}

Nästa steg

• Lista Microsoft Entra-rolltilldelningar
• Tilldela Microsoft Entra-roller i Hantering av privilegierad identitet
• Använda Microsoft Entra-grupper för att hantera rolltilldelningar
• Felsöka Microsoft Entra-roller som tilldelats grupper