Dela via


Tilldela Microsoft Entra-roller i olika omfång

I Microsoft Entra-ID tilldelas roller vanligtvis att gälla för hela klientorganisationen. Du kan dock även tilldela Microsoft Entra-roller för olika resurser, till exempel administrativa enheter eller programregistreringar. Du kan till exempel tilldela rollen Supportadministratör så att den bara gäller för en viss administrativ enhet och inte hela klientorganisationen. De resurser som en rolltilldelning gäller för kallas även omfånget. Den här artikeln beskriver hur du tilldelar Microsoft Entra-roller på klientorganisations-, administrationsenhets- och programregistreringsomfång. Mer information om omfång finns i Översikt över rollbaserad åtkomstkontroll (RBAC) i Microsoft Entra-ID.

Förutsättningar

  • Privilegierad rolladministratör.
  • Microsoft Graph PowerShell SDK installerat när du använder PowerShell.
  • Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API.

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Tilldela roller som är begränsade till klientorganisationen

I det här avsnittet beskrivs hur du tilldelar roller i klientomfånget.

Microsoft Entra administrationscenter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

    Sidan Roller och administratörer i Microsoft Entra-ID.

  3. Välj en roll för att se dess tilldelningar. Om du vill hjälpa dig att hitta den roll du behöver använder du Lägg till filter för att filtrera rollerna.

  4. Välj Lägg till tilldelningar och välj sedan de användare som du vill tilldela till den här rollen.

    Fönstret Lägg till tilldelningar för den valda rollen.

  5. Välj Lägga till för att tilldela rollen.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

    Connect-MgGraph -Scopes "RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Använd Get-MgUser för att hämta användaren.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  5. Ange klientorganisationen som omfång för rolltilldelning.

    $directoryScope = '/'
    
  6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Använd API:et List unifiedRoleDefinitions för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Billing Administrator'
    
  4. Använd API:et Create unifiedRoleAssignment för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/"
    }
    

Tilldela roller som är begränsade till en administrativ enhet

I det här avsnittet beskrivs hur du tilldelar roller i ett administrativt enhetsomfång .

Microsoft Entra administrationscenter

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identity Roles & admins Admin units (Identity>Roles & admins>Admin units).

  3. Välj en administrativ enhet.

    Administrativa enheter i Microsoft Entra-ID.

  4. Välj Roller och administratörer på den vänstra navigeringsmenyn för att se listan över alla roller som ska tilldelas via en administrativ enhet.

    Menyn Roller och administratörer under administrativa enheter i Microsoft Entra-ID.

  5. Välj önskad roll.

  6. Välj Lägg till tilldelningar och välj sedan de användare eller grupper som du vill tilldela rollen till.

  7. Välj Lägg till för att tilldela rollen som är begränsad till den administrativa enheten.

Kommentar

Du ser inte hela listan över inbyggda eller anpassade Roller i Microsoft Entra här. Detta är förväntat. Vi visar de roller som har behörigheter relaterade till de objekt som stöds i den administrativa enheten. En lista över objekt som stöds i en administrativ enhet finns i Administrativa enheter i Microsoft Entra-ID.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller i omfånget för administrativa enheter med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

    Connect-MgGraph -Scopes "Directory.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Använd Get-MgUser för att hämta användaren.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'User Administrator'"
    
  5. Använd Get-MgDirectoryAdministrativeUnit för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    $adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayName eq 'Seattle Admin Unit'"
    $directoryScope = '/administrativeUnits/' + $adminUnit.Id
    
  6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id
    

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll i det administrativa enhetsomfånget med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Använd API:et List unifiedRoleDefinitions för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'User Administrator'
    
  4. Använd API:et List administrativeUnits för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    GET https://graph.microsoft.com/v1.0/directory/administrativeUnits?$filter=displayName eq 'Seattle Admin Unit'
    
  5. Använd API:et Create unifiedRoleAssignment för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/administrativeUnits/<provide objectId of the admin unit obtained above>"
    }
    

Kommentar

Här anges directoryScopeId som /administrativeUnits/foo, i stället för /foo. Det är avsiktligt. Omfånget /administrativeUnits/foo innebär att huvudkontot kan hantera medlemmarna i den administrativa enheten (baserat på den roll som hon har tilldelats), inte själva den administrativa enheten. Omfånget /foo innebär att huvudkontot kan hantera själva Microsoft Entra-objektet. I det efterföljande avsnittet ser du att omfånget är /foo eftersom en roll som är begränsad till en appregistrering ger behörighet att hantera själva objektet.

Tilldela roller som är begränsade till en appregistrering

I det här avsnittet beskrivs hur du tilldelar roller i ett programregistreringsomfång.

Microsoft Entra administrationscenter

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar.

  3. Välj ett program. Du kan använda sökrutan för att hitta önskad app.

    Appregistreringar i Microsoft Entra-ID.

  4. Välj Roller och administratörer på den vänstra navigeringsmenyn för att se listan över alla roller som ska tilldelas över appregistreringen.

    Roller för appregistreringar i Microsoft Entra-ID.

  5. Välj önskad roll.

  6. Välj Lägg till tilldelningar och välj sedan de användare eller grupper som du vill tilldela rollen till.

    Lägg till rolltilldelningsomfång i en appregistrering i Microsoft Entra-ID.

  7. Välj Lägg till för att tilldela rollen som är begränsad till appregistreringen.

    Rolltilldelningen har lagts till i en appregistrering i Microsoft Entra-ID.

    Rollen tilldelad till användaren som är begränsad till en appregistrering i Microsoft Entra-ID.

Kommentar

Du ser inte hela listan över inbyggda eller anpassade Roller i Microsoft Entra här. Detta är förväntat. Vi visar de roller som endast har behörighet att hantera appregistreringar.

PowerShell

Följ de här stegen för att tilldela Microsoft Entra-roller i programomfånget med hjälp av PowerShell.

  1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

    Connect-MgGraph -Scopes "Application.Read.All","RoleManagement.Read.Directory","User.Read.All","RoleManagement.ReadWrite.Directory"
    
  3. Använd Get-MgUser för att hämta användaren.

    $user = Get-MgUser -Filter "userPrincipalName eq 'alice@contoso.com'"
    
  4. Använd Get-MgRoleManagementDirectoryRoleDefinition för att hämta den roll som du vill tilldela.

    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition `
       -Filter "displayName eq 'Application Administrator'"
    
  5. Använd Get-MgApplication för att hämta den appregistrering som du vill att rolltilldelningen ska begränsas till.

    $appRegistration = Get-MgApplication -Filter "displayName eq 'f/128 Filter Photos'"
    $directoryScope = '/' + $appRegistration.Id
    
  6. Använd New-MgRoleManagementDirectoryRoleAssignment för att tilldela rollen.

    $roleAssignment = New-MgRoleManagementDirectoryRoleAssignment `
       -DirectoryScopeId $directoryScope -PrincipalId $user.Id `
       -RoleDefinitionId $roleDefinition.Id 
    

Microsoft Graph API

Följ de här anvisningarna för att tilldela en roll i programomfånget med hjälp av Microsoft Graph API i Graph Explorer.

  1. Logga in på Graph Explorer.

  2. Använd API för listanvändare för att hämta användaren.

    GET https://graph.microsoft.com/v1.0/users?$filter=userPrincipalName eq 'alice@contoso.com'
    
  3. Använd API:et List unifiedRoleDefinitions för att hämta den roll som du vill tilldela.

    GET https://graph.microsoft.com/v1.0/rolemanagement/directory/roleDefinitions?$filter=displayName eq 'Application Administrator'
    
  4. Använd API:et Listprogram för att hämta den administrativa enhet som du vill att rolltilldelningen ska begränsas till.

    GET https://graph.microsoft.com/v1.0/applications?$filter=displayName eq 'f/128 Filter Photos'
    
  5. Använd API:et Create unifiedRoleAssignment för att tilldela rollen.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    
    {
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "principalId": "<provide objectId of the user obtained above>",
        "roleDefinitionId": "<provide templateId of the role obtained above>",
        "directoryScopeId": "/<provide objectId of the app registration obtained above>"
    }
    

Kommentar

Här anges directoryScopeId som /foo, till skillnad från avsnittet ovan. Det är avsiktligt. Omfånget /foo innebär att huvudkontot kan hantera det Microsoft Entra-objektet. Omfånget /administrativeUnits/foo innebär att huvudkontot kan hantera medlemmarna i den administrativa enheten (baserat på den roll som hon har tilldelats), inte själva den administrativa enheten.

Nästa steg