Tworzenie roli niestandardowej w identyfikatorze Entra firmy Microsoft

Artykuł
01/03/2025

W tym artykule opisano sposób tworzenia roli niestandardowej w usłudze Microsoft Entra ID przy użyciu centrum administracyjnego firmy Microsoft, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph.

Aby zapoznać się z podstawami ról niestandardowych, zobacz omówienie ról niestandardowych. Rolę można przypisać tylko na poziomie katalogu lub w ramach zasobu rejestracji aplikacji. Aby uzyskać informacje o maksymalnej liczbie ról niestandardowych, które można utworzyć w organizacji Microsoft Entra, zobacz ograniczenia i limity usług Microsoft Entra.

Warunki wstępne

Licencja microsoft Entra ID P1 lub P2
Administrator ról uprzywilejowanych
moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu API programu Microsoft Graph

Aby uzyskać więcej informacji, zobacz Wymagania wstępne do użycia PowerShell lub Graph Explorer.

centrum administracyjne
PowerShell
interfejs API programu Graph

Tworzenie roli niestandardowej

W tych krokach opisano sposób tworzenia roli niestandardowej w centrum administracyjnym firmy Microsoft Entra w celu zarządzania rejestracjami aplikacji.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zaloguj się do centrum administratora Microsoft Entra jako co najmniej Administratora Ról Uprzywilejowanych.
Przejdź do tożsamości>roli administratorów &>roli administratorów &.
Wybierz pozycję Nowa rola niestandardowa.
Na karcie Podstawowe podaj nazwę i opis roli.

Podstawowe uprawnienia można sklonować z roli niestandardowej, ale nie można sklonować roli wbudowanej.
Na karcie Uprawnienia wybierz uprawnienia niezbędne do zarządzania właściwościami podstawowymi i właściwościami poświadczeń rejestracji aplikacji. Aby zapoznać się ze szczegółowym opisem poszczególnych uprawnień, zobacz subtypy rejestracji aplikacji i uprawnienia w usłudze Microsoft Entra ID.
1. Najpierw wprowadź "poświadczenia" na pasku wyszukiwania i wybierz uprawnienie microsoft.directory/applications/credentials/update.
2. Następnie wprowadź "basic" na pasku wyszukiwania, wybierz uprawnienie microsoft.directory/applications/basic/update, a potem kliknij Dalej.
Na karcie Przeglądanie i tworzenie sprawdź uprawnienia i wybierz Utwórz.

Twoja rola niestandardowa pojawi się na liście dostępnych ról do przypisania.

Użyj polecenia Connect-MgGraph, aby zalogować się do konta.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Aktualizowanie roli niestandardowej

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Usuń rolę niestandardową

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Tworzenie roli niestandardowej

Wykonaj następujące kroki:

Użyj interfejsu API Create unifiedRoleDefinition, aby utworzyć rolę niestandardową.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

Ciało

{
    "description": "Can manage basic aspects of application registrations.",
    "displayName": "Application Support Administrator",
    "isEnabled": true,
    "templateId": "<GUID>",
    "rolePermissions": [
        {
            "allowedResourceActions": [
                "microsoft.directory/applications/basic/update",
                "microsoft.directory/applications/credentials/update"
            ]
        }
    ]
}

Notatka

"templateId": "GUID" jest opcjonalnym parametrem wysyłanym w treści żądania w zależności od potrzeb. Jeśli musisz utworzyć wiele różnych ról niestandardowych z typowymi parametrami, najlepiej utworzyć szablon i zdefiniować wartość templateId. Wartość templateId można wygenerować wcześniej przy użyciu polecenia cmdlet programu PowerShell (New-Guid).Guid.

Użyj interfejsu API Create unifiedRoleAssignment, aby przypisać rolę niestandardową.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

Ciało

{
"principalId":"<GUID OF USER>",
"roleDefinitionId":"<GUID OF ROLE DEFINITION>",
"directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
}

Udostępnij za pośrednictwem

Tworzenie roli niestandardowej w identyfikatorze Entra firmy Microsoft

Warunki wstępne

Tworzenie roli niestandardowej

Tworzenie roli niestandardowej

Aktualizowanie roli niestandardowej

Usuń rolę niestandardową

Tworzenie roli niestandardowej

Opinia

Dodatkowe zasoby

Udostępnij za pośrednictwem

Tworzenie roli niestandardowej w identyfikatorze Entra firmy Microsoft

Warunki wstępne

Tworzenie roli niestandardowej

Powiązana zawartość

Opinia

Dodatkowe zasoby