Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra

В этой статье описывается создание новых пользовательских ролей в идентификаторе Microsoft Entra. Основные сведения о пользовательских ролях см. на этой странице. Роль можно назначать только в области действия уровня каталога или в области действия ресурса регистрации приложения.

Пользовательские роли можно создать на странице "Роли и администраторы " центра администрирования Microsoft Entra.

Необходимые компоненты

  • Лицензия Microsoft Entra ID P1 или P2
  • Администратор привилегированных ролей
  • Модуль Microsoft.Graph при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для API Microsoft Graph.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Создание роли в Центре администрирования Microsoft Entra

Создание пользовательской роли с доступом для управления регистрацией приложений

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к ролям удостоверений>и администраторам.>

  3. Выберите новую настраиваемую роль.

    Создание или изменение ролей на странице

  4. На вкладке "Основные сведения" укажите имя и описание роли.

    Вы можете клонировать базовые разрешения из настраиваемой роли, но клонировать встроенную роль нельзя.

    Ввод имени и описания настраиваемой роли на вкладке

  5. На вкладке Разрешения выберите разрешения, необходимые для управления основными свойствами и свойствами учетных данных для регистрации приложений. Подробное описание каждого разрешения см. в подразделах регистрации приложений и разрешениях в идентификаторе Microsoft Entra.

    1. Сначала введите credentials в строке поиска и выберите разрешение microsoft.directory/applications/credentials/update.

      Выбор разрешений для пользовательской роли на вкладке

    2. Затем в строке поиска введите basic, выберите разрешение microsoft.directory/applications/basic/update и нажмите кнопку Далее.

  6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

    Ваша пользовательская роль отобразится в списке доступных ролей для назначения.

Создание роли с помощью PowerShell

Вход

Используйте команду Connect-MgGraph для входа в клиент.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Create the custom role

Create a new role using the following PowerShell script:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction =
@(
    "microsoft.directory/applications/basic/update",
    "microsoft.directory/applications/credentials/update"
)
$rolePermissions = @(@{AllowedResourceActions= $allowedResourceAction})

# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -IsEnabled -Description $description -TemplateId $templateId

Assign the custom role using PowerShell

Assign the role using the below PowerShell script:

# Get the user and role definition you want to link
$user = Get-MgUser -Filter "userPrincipalName eq '[email protected]'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Application Support Administrator'"

# Get app registration and construct resource scope for assignment.
$appRegistration = Get-MgApplication -Filter "Displayname eq 'MyApp1'"
$resourceScope = '/' + $appRegistration.objectId

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $resourcescope -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id

Создание роли с помощью API Microsoft Graph

Выполните следующие действия:

  1. Используйте API Create unifiedRoleDefinition для создания настраиваемой роли.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
    

    Текст

    {
      "description": "Can manage basic aspects of application registrations.",
      "displayName": "Application Support Administrator",
      "isEnabled": true,
      "templateId": "<GUID>",
      "rolePermissions": [
          {
              "allowedResourceActions": [
                  "microsoft.directory/applications/basic/update",
                  "microsoft.directory/applications/credentials/update"
              ]
          }
      ]
    }
    

    Примечание.

    Параметр "templateId": "GUID" является необязательным. Он отправляется в тексте запроса по мере необходимости. Если вам нужно создать несколько разных пользовательских ролей с общими параметрами, лучше всего создать шаблон и определить значение templateId. Вы можете создать значение templateId заранее с помощью командлета PowerShell (New-Guid).Guid.

  2. Чтобы назначить настраиваемую роль, используйте API Create unifiedRoleAssignment.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    

    Текст

    {
        "principalId":"<GUID OF USER>",
        "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
        "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
    }
    

Назначение настраиваемой роли, ограниченной ресурсом

Как и встроенные роли, пользовательские роли назначаются по умолчанию в масштабах всей организации для предоставления разрешения на доступ для всех регистраций приложений в организации. Кроме того, пользовательские роли и некоторые соответствующие встроенные роли (в зависимости от типа ресурса Microsoft Entra) также можно назначить в пределах одного ресурса Microsoft Entra. Это позволяет предоставить пользователю разрешение на обновление учетных данных и основных свойств отдельного приложения без создания второй пользовательской роли.

  1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

  2. Перейдите к приложениям> удостоверений>Регистрация приложений.

  3. Выберите регистрацию приложения, к которой предоставляется доступ для управления. Вам может потребоваться выбрать все приложения , чтобы просмотреть полный список регистраций приложений в вашей организации Microsoft Entra.

    Выбор регистрации приложения в качестве области действия ресурса для назначения роли

  4. При регистрации приложения выберите Роли и администраторы. Если вы еще не создали ее, выполните инструкции приведенные в разделе выше.

  5. Затем выберите роль, чтобы открыть страницу Назначения.

  6. Выберите Добавить назначение, чтобы добавить пользователя. Пользователю будут предоставлены разрешения только для выбранной регистрации приложения.