Skapa anpassade roller för att hantera företagsappar i Microsoft Entra-ID

Den här artikeln beskriver hur du skapar en anpassad roll med behörighet att hantera företagsapptilldelningar för användare och grupper i Microsoft Entra-ID. Information om elementen i rolltilldelningar och innebörden av termer som undertyp, behörighet och egenskapsuppsättning finns i översikten över anpassade roller.

Förutsättningar

• Microsoft Entra ID P1- eller P2-licens
• Administratör för privilegierad roll
• Microsoft Graph PowerShell modul när du använder PowerShell
• Administratörsmedgivande när Graph Explorer för Microsoft Graph API används

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Rollbehörigheter för företagsappar

Det finns två behörigheter för företagsappar som beskrivs i den här artikeln. Alla exempel använder uppdateringsbehörigheten.

• Om du vill läsa användar- och grupptilldelningarna i omfånget beviljar du behörigheten microsoft.directory/servicePrincipals/appRoleAssignedTo/read
• Om du vill hantera användar- och grupptilldelningarna i omfånget beviljar du behörigheten microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Om du beviljar uppdateringsbehörigheten kan den tilldelade personen hantera tilldelningar av användare och grupper till företagsappar. Omfånget för användar- och/eller grupptilldelningar kan beviljas för ett enda program eller beviljas för alla program. Om det beviljas på organisationsomfattande nivå kan tilldelningsmottagaren hantera tilldelningar för alla program. Om det görs på programnivå kan tilldelningsmottagaren endast hantera tilldelningar för det angivna programmet.

Du beviljar uppdateringsbehörigheten i två steg:

1. Skapa en anpassad roll med behörighet microsoft.directory/servicePrincipals/appRoleAssignedTo/update
2. Ge användare eller grupper behörighet att hantera användar- och grupptilldelningar till företagsappar. Det här är då du kan ange omfånget till organisationsomfattande nivå eller till ett enda program.

Admin-center

Skapa en ny anpassad roll

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

I administrationscentret för Microsoft Entra kan du skapa och hantera anpassade roller för att styra åtkomst och behörigheter för företagsappar.

Kommentar

Anpassade roller skapas och hanteras på organisationsomfattande nivå och är endast tillgängliga från organisationens översiktssida.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till >och administratörer.

3. Välj Ny anpassad roll.

   

4. På fliken Grundläggande anger du "Hantera användar- och grupptilldelningar" för namnet på rollen och "Bevilja behörigheter för att hantera användar- och grupptilldelningar" för rollbeskrivningen och väljer sedan Nästa.

   

5. På fliken Behörigheter anger du "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" i sökrutan, markerar kryssrutorna bredvid önskade behörigheter och väljer sedan Nästa.

   

6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

   

Tilldela rollen till en användare med hjälp av administrationscentret för Microsoft Entra

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till >och administratörer.

3. Välj rollen Hantera användar- och grupptilldelningar .

   

4. Välj Lägg till tilldelning, välj önskad användare och klicka sedan på Välj för att lägga till rolltilldelning till användaren.

   

Tilldelningstips

• Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för alla företagsappar i hela organisationen börjar du från listan roller och administratörer i hela organisationen på sidan Översikt över Microsoft Entra-ID för din organisation.

• Om du vill bevilja behörigheter till tilldelningar för att hantera användare och gruppåtkomst för en specifik företagsapp går du till appen i Microsoft Entra-ID och öppnar i listan Roller och administratörer för appen. Välj den nya anpassade rollen och slutför användar- eller grupptilldelningen. Tilldelningarna kan endast hantera användare och gruppåtkomst för den specifika appen.

• Om du vill testa din anpassade rolltilldelning loggar du in som tilldelad och öppnar sidan Användare och grupper för att kontrollera att alternativet Lägg till användare är aktiverat.

  

PowerShell

Mer information finns i Skapa en anpassad roll i Microsoft Entra ID och Tilldela Microsoft Entra-roller.

Skapa en anpassad roll

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Tilldela den anpassade rollen

Tilldela rollen med det här PowerShell-skriptet.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Graph API

Använd API:et Create unifiedRoleDefinition för att skapa en anpassad roll. Mer information finns i Skapa en anpassad roll i Microsoft Entra ID och Tilldela Microsoft Entra-roller.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Tilldela den anpassade rollen med hjälp av Microsoft Graph API

Använd API:et Create unifiedRoleAssignment för att tilldela den anpassade rollen. Rolltilldelningen kombinerar ett säkerhetshuvudnamns-ID (som kan vara en användare eller tjänstens huvudnamn), ett rolldefinitions-ID och ett Microsoft Entra-resursomfång. Mer information om elementen i en rolltilldelning finns i översikten över anpassade roller

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nästa steg

• Utforska de tillgängliga anpassade rollbehörigheterna för företagsappar