Microsoft Entra ID에서 엔터프라이즈 앱을 관리하기 위한 사용자 지정 역할 만들기

새 사용자 지정 역할 만들기

Microsoft Entra 관리 센터에서 사용자 지정 역할을 만들고 관리하여 엔터프라이즈 앱에 대한 액세스 및 권한을 제어할 수 있습니다.

1. 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

3. 새 사용자 지정 역할을 선택합니다.

   

4. 기본 사항 탭에서 역할 이름에 대해 "사용자 및 그룹 할당 관리"를 제공하고 역할 설명에 대해 "사용자 및 그룹 할당을 관리할 수 있는 권한 부여"를 제공한 다음, 다음을 선택합니다.

   

5. 사용 권한 탭의 검색 상자에 "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"를 입력하고 원하는 권한 옆에 있는 확인란을 선택한 다음, 다음을 선택합니다.

   

6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

   

Microsoft Entra 관리 센터를 사용하여 사용자에게 역할 할당

1. 최소한 권한 있는 역할 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>역할 및 관리자>역할 및 관리자로 이동합니다.

3. 사용자 및 그룹 할당 관리 역할을 선택합니다.

   

4. 할당 추가를 선택하고 원하는 사용자를 선택한 다음 선택을 클릭하여 사용자에게 역할 할당을 추가합니다.

   

할당 팁

• 조직 전체에서 모든 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리하기 위해 담당자에게 권한을 부여하려면 조직에 대한 Microsoft Entra ID 개요 페이지의 조직 전체 역할 및 관리자 목록에서 시작합니다.

• 담당자에게 특정 엔터프라이즈 앱에 대한 사용자 및 그룹 액세스를 관리할 수 있는 권한을 부여하려면 Microsoft Entra ID에서 해당 앱으로 이동하여 해당 앱의 역할 및 관리자 목록을 엽니다. 새 사용자 지정 역할을 선택하고 사용자 또는 그룹 할당을 완료합니다. 담당자는 특정 앱에 대한 사용자 및 그룹 액세스만 관리할 수 있습니다.

• 사용자 지정 역할 할당을 테스트하려면 담당자로 로그인하고 애플리케이션의 사용자 및 그룹 페이지를 열어 사용자 추가 옵션이 설정되어 있는지 확인합니다.

  

자세한 내용은 Microsoft Entra ID 사용자 지정 역할 만들기 및Microsoft Entra 역할 할당 참조하세요.

사용자 지정 역할 만들기

다음 PowerShell 스크립트를 사용하여 새 역할을 만듭니다.

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

사용자 지정 역할 할당

이 PowerShell 스크립트를 사용하여 역할을 할당합니다.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Create unifiedRoleDefinition API를 사용하여 사용자 지정 역할을 만듭니다. 자세한 내용은 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 Microsoft Entra 역할 할당을(를) 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Microsoft Graph API를 사용하여 사용자 지정 역할 할당

Create unifiedRoleAssignment API를 사용하여 사용자 지정 역할을 할당합니다. 역할 할당은 보안 주체 ID(사용자 또는 서비스 주체일 수 있음), 역할 정의 ID 및 Microsoft Entra 리소스 범위를 결합합니다. 역할 할당의 요소에 대한 자세한 내용은 사용자 지정 역할 개요를 참조하세요.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}