在 Microsoft Entra ID 中创建自定义角色

本文介绍如何使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 在 Microsoft Entra ID 中创建自定义角色。

有关自定义角色的基础知识,请参阅 自定义角色概述。 只能在目录级范围或应用注册资源范围中分配角色。 有关可在 Microsoft Entra 组织中创建的最大自定义角色数的信息,请参阅 Microsoft Entra 服务限制和限制

先决条件

  • Microsoft Entra ID P1 或 P2 许可证
  • 特权角色管理员
  • 使用 PowerShell 时的 Microsoft Graph PowerShell 模块
  • 使用 Graph 浏览器访问 Microsoft Graph API 时的管理员同意

有关详细信息,请参阅 使用 PowerShell 或 Graph Explorer 的先决条件

创建自定义角色

这些步骤介绍如何在 Microsoft Entra 管理中心创建自定义角色来管理应用注册。

提示

本文中的步骤可能会因你的起始门户而略有不同。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“角色和管理员”>“角色和管理员”

  3. 选择 “新建自定义角色”

    Microsoft Entra 管理中心中“角色和管理员”页的 屏幕截图。

  4. 在“基本信息” 选项卡上,提供角色的名称和说明。

    可以从自定义角色克隆基线权限,但无法克隆内置角色。

    “基本信息”选项卡的屏幕截图,以提供自定义角色的名称和说明。

  5. 权限 选项卡上,选择管理应用注册的基本属性和凭据属性所需的权限。 有关每个权限的详细说明,请参阅Microsoft Entra ID中的 应用程序注册子类型和权限。

    1. 首先,在搜索栏中输入“凭据”,然后选择 microsoft.directory/applications/credentials/update 权限。

      “权限”选项卡的屏幕截图,以选择自定义角色的权限。

    2. 接下来,在搜索栏中输入“基本信息”,选择 microsoft.directory/applications/basic/update 权限,然后单击“下一步”

  6. 在“检查 + 创建”选项卡上,查看权限并选择“创建”。

    自定义角色将显示在要分配的可用角色列表中。