在 Microsoft Entra ID 中创建自定义角色

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 在 Microsoft Entra ID 中创建自定义角色。

有关自定义角色的基础知识，请参阅 自定义角色概述。 只能在目录级范围或应用注册资源范围中分配角色。 有关可在 Microsoft Entra 组织中创建的最大自定义角色数的信息，请参阅 Microsoft Entra 服务限制和限制。

先决条件

• Microsoft Entra ID P1 或 P2 许可证
• 特权角色管理员
• 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
• 使用 Graph 浏览器访问 Microsoft Graph API 时的管理员同意

有关详细信息，请参阅 使用 PowerShell 或 Graph Explorer 的先决条件。

管理中心

创建自定义角色

这些步骤介绍如何在 Microsoft Entra 管理中心创建自定义角色来管理应用注册。

提示

本文中的步骤可能会因你的起始门户而略有不同。

1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“角色和管理员”>“角色和管理员”。

3. 选择 “新建自定义角色”。

   Microsoft Entra 管理中心中“角色和管理员”页的

4. 在“基本信息” 选项卡上，提供角色的名称和说明。

   可以从自定义角色克隆基线权限，但无法克隆内置角色。

   

5. 在 权限 选项卡上，选择管理应用注册的基本属性和凭据属性所需的权限。 有关每个权限的详细说明，请参阅Microsoft Entra ID中的 应用程序注册子类型和权限。

   1. 首先，在搜索栏中输入“凭据”，然后选择 microsoft.directory/applications/credentials/update 权限。

      

   2. 接下来，在搜索栏中输入“基本信息”，选择 microsoft.directory/applications/basic/update 权限，然后单击“下一步”。

6. 在“检查 + 创建”选项卡上，查看权限并选择“创建”。

   自定义角色将显示在要分配的可用角色列表中。

PowerShell

登录

使用 Connect-MgGraph 命令登录到租户。

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

创建自定义角色

使用以下 PowerShell 脚本创建新角色：

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

更新自定义角色

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

删除自定义角色

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Graph API

创建自定义角色

按照以下步骤操作：

1. 使用 创建 unifiedRoleDefinition API 创建自定义角色。

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   正文

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   注意

   "templateId": "GUID" 是根据要求在正文中发送的可选参数。 如果需要创建具有常见参数的多个不同自定义角色，最好创建模板并定义 templateId 值。 可以使用 PowerShell cmdlet (New-Guid).Guid事先生成 templateId 值。

2. 使用 Create unifiedRoleAssignment API 分配自定义角色。

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   正文

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }
   

相关内容

• 分配 Microsoft Entra 角色
• Microsoft Entra 内置角色
• 默认来宾和成员用户权限的比较