Skapa en anpassad roll i Microsoft Entra-ID

I den här artikeln beskrivs hur du skapar en anpassad roll i Microsoft Entra-ID med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API.

Grunderna för anpassade roller finns i översikten över anpassade roller. Rollen kan tilldelas antingen i katalognivåomfånget eller endast i ett resursomfång för appregistrering. Information om det maximala antalet anpassade roller som kan skapas i en Microsoft Entra-organisation finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten.

Förutsättningar

• Microsoft Entra ID P1- eller P2-licens
• Privilegierad rolladministratör
• Microsoft Graph PowerShell modul när du använder PowerShell
• Administratörsmedgivande när du använder Graph Explorer för Microsoft Graph API

Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

Administrationscenter

Skapa en anpassad roll

De här stegen beskriver hur du skapar en anpassad roll i administrationscentret för Microsoft Entra för att hantera appregistreringar.

Tips

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Identitet>Roller & administratörer>Roller & administratörer.

3. Välj Ny anpassad roll.

   

4. På fliken Grundläggande anger du ett namn och en beskrivning för rollen.

   Du kan klona baslinjebehörigheterna från en anpassad roll, men du kan inte klona en inbyggd roll.

   

5. På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar. En detaljerad beskrivning av varje behörighet finns i undertyper och behörigheter för programregistrering i Microsoft Entra ID.

   1. Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten microsoft.directory/applications/credentials/update.

      

   2. Ange sedan "basic" i sökfältet, välj behörigheten microsoft.directory/applications/basic/update och klicka sedan på Nästa.

6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

   Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.

PowerShell

Logga in

Använd kommandot Connect-MgGraph för att logga in på din klientorganisation.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Skapa en anpassad roll

Skapa en ny roll med följande PowerShell-skript:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Uppdatera en anpassad roll

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Ta bort en anpassad roll

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API

Skapa en anpassad roll

Följ dessa steg:

1. Använd Skapa unifiedRoleDefinition API för att skapa en anpassad roll.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Kropp

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Not

   "templateId": "GUID" är en valfri parameter som skickas i brödtexten beroende på kravet. Om du har ett krav på att skapa flera olika anpassade roller med vanliga parametrar är det bäst att skapa en mall och definiera ett templateId värde. Du kan generera ett templateId värde i förväg med hjälp av PowerShell-cmdleten (New-Guid).Guid.

2. Använd API:t för att skapa unifiedRoleAssignment och tilldela den anpassade rollen.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Kropp

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

Relaterat innehåll

• Tilldela Microsoft Entra-roller
• inbyggda Microsoft Entra-roller
• Jämförelse av standardbehörigheter för gäst- och medlemsanvändare