在 Microsoft Entra 識別碼中建立自定義角色

建立自定義角色

這些步驟說明如何在 Microsoft Entra 系統管理中心建立自定義角色，以管理應用程式註冊。

1. 以至少 特權角色管理員身分登入 Microsoft Entra 管理中心。

2. 瀏覽至 身分識別>角色 & 系統管理員>角色 &。

3. 選取 新增自訂角色。

   

4. 在 [基本] 標籤上，為角色提供名稱和描述。

   您可以從自定義角色複製基準許可權，但無法複製內建角色。

   

5. 在 [許可權] 索引標籤上，選取管理應用程式註冊基本屬性和認證屬性所需的許可權。 如需每個許可權的詳細描述，請參閱 Microsoft Entra ID中的 應用程式註冊子類型和許可權。

   1. 首先，在搜尋列中輸入「認證」，然後選取 microsoft.directory/applications/credentials/update 許可權。

      

   2. 接下來，在搜尋列中輸入「basic」，選取 microsoft.directory/applications/basic/update 許可權，然後點擊 Next。

6. 在 [檢查 + 建立] 標籤上，檢查權限並選取 [建立 ] 按鈕。

   您的自定義角色會顯示在要指派的可用角色清單中。

登錄

使用 Connect-MgGraph 命令來登錄您的租戶。

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

建立自定義角色

使用下列 PowerShell 腳本建立新角色：

# Basic role information
$displayName = "Application Support Administrator"
$description = "Can manage basic aspects of application registrations."
$templateId = (New-Guid).Guid
      
# Set of permissions to grant
$rolePermissions = @{
    "allowedResourceActions" = @(
        "microsoft.directory/applications/basic/update",
        "microsoft.directory/applications/credentials/update"
    )
}
      
# Create new custom admin role
$customAdmin = New-MgRoleManagementDirectoryRoleDefinition -RolePermissions $rolePermissions `
    -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled:$true

更新自定義角色

# Update role definition
# This works for any writable property on role definition. You can replace display name with other
# valid properties.
Update-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f `
   -DisplayName "Updated DisplayName"

刪除自定義角色

# Delete role definition
Remove-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId c4e39bd9-1100-46d3-8c65-fb160da0071f

建立自定義角色

請遵循下列步驟：

1. 使用 建立 unifiedRoleDefinition API 來建立自定義角色。

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions
   

   身體

   {
       "description": "Can manage basic aspects of application registrations.",
       "displayName": "Application Support Administrator",
       "isEnabled": true,
       "templateId": "<GUID>",
       "rolePermissions": [
           {
               "allowedResourceActions": [
                   "microsoft.directory/applications/basic/update",
                   "microsoft.directory/applications/credentials/update"
               ]
           }
       ]
   }
   

   注意

   "templateId": "GUID" 是一個選擇性參數，依據需求會在訊息本體中傳送。 如果您需要使用一般參數建立多個不同的自定義角色，最好建立範本並定義 templateId 值。 您可以使用 PowerShell Cmdlet templateId事先產生 (New-Guid).Guid 值。

2. 使用 建立 unifiedRoleAssignment API 來指派自定義角色。

   POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
   

   身體

   {
   "principalId":"<GUID OF USER>",
   "roleDefinitionId":"<GUID OF ROLE DEFINITION>",
   "directoryScopeId":"/<GUID OF APPLICATION REGISTRATION>"
   }