Microsoft Entra Id'de özel rol oluşturma

Özel rol oluşturma

Bu adımlar, uygulama kayıtlarını yönetmek için Microsoft Entra yönetim merkezinde özel bir rolün nasıl oluşturulacağını açıklar.

1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisiolarak oturum açın.

2. Kimlik>Rolleri & yöneticiler>Rolleri & yöneticiler'e göz atın.

3. Yeni özel rol seçin.

   

4. Temel bilgiler sekmesinde rol için bir ad ve açıklama girin.

   Temel izinleri özel bir rolden kopyalayabilirsiniz, ancak yerleşik rolü kopyalayamazsınız.

   

5. İzinler sekmesinde, uygulama kayıtlarının temel özelliklerini ve kimlik bilgisi özelliklerini yönetmek için gereken izinleri seçin. Her iznin ayrıntılı açıklaması için bkz. Microsoft Entra IdUygulama kaydı alt türleri ve izinleri.

   1. İlk olarak, arama çubuğuna "kimlik bilgileri" yazın ve microsoft.directory/applications/credentials/update iznini seçin.

      

   2. Ardından, arama çubuğuna "temel" yazın, microsoft.directory/applications/basic/update iznini seçin ve ardından İleriöğesine tıklayın.

6. Gözden Geçir + Oluştur sekmesinde izinleri gözden geçirin ve Oluştur'useçin.

   Özel rolünüz atanacak kullanılabilir roller listesinde gösterilir.

Oturum Aç

Kiracınızda oturum açmak için Connect-MgGraph komutunu kullanın.

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

Özel rol oluşturma

Aşağıdaki PowerShell betiğini kullanarak yeni bir rol oluşturun:

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

Özel rolü güncelleştirme

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

Özel rolü silme

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

Özel rol oluşturma

Şu adımları izleyin:

1. Özel rol oluşturmak için Create unifiedRoleDefinition API'sini kullanın.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   Beden

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   Not

   "templateId": "GUID", gereksinime bağlı olarak gövdeye gönderilen isteğe bağlı bir parametredir. Ortak parametrelerle birden çok farklı özel rol oluşturma gereksiniminiz varsa, bir şablon oluşturmak ve templateId bir değer tanımlamak en iyisidir. templateIdPowerShell cmdlet'ini kullanarak önceden bir (New-Guid).Guid değeri oluşturabilirsiniz.

2. Özel rolü atamak için Create unifiedRoleAssignment API'sini kullanın.

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   Beden

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }