Erstellen von benutzerdefinierten Rollen zum Verwalten von Unternehmens-Apps in Microsoft Entra ID

In diesem Artikel wird erläutert, wie Sie eine benutzerdefinierte Rolle mit Berechtigungen zum Verwalten von Unternehmens-App-Zuweisungen für Benutzer*innen und Gruppen in Microsoft Entra ID erstellen. Die Elemente von Rollenzuweisungen und die Bedeutung von Begriffen wie Untertyp, Berechtigung und Eigenschaftensatz finden Sie in der Übersicht über benutzerdefinierte Rollen.

Voraussetzungen

P1- oder P2-Lizenz für Microsoft Entra ID
Administrator für privilegierte Rollen
Microsoft Graph PowerShell-Modul bei Verwendung von PowerShell
Administratorzustimmung bei Verwendung von Graph-Tester für die Microsoft Graph-API

Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von PowerShell oder Graph-Explorer.

Rollenberechtigungen für Unternehmens-Apps

In diesem Artikel werden zwei Berechtigungen für Unternehmens-Apps erörtert. In allen Beispielen wird die Berechtigung zum Aktualisieren („update“) verwendet.

Zum Lesen der Benutzer- und Gruppenzuweisungen im Bereich erteilen Sie die Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/read.
Zum Verwalten der Benutzer- und Gruppenzuweisungen im Bereich erteilen Sie die Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/update.

Das Erteilen der Berechtigung zum Aktualisieren führt dazu, dass die zugewiesene Person Zuweisungen von Benutzern und Gruppen zu Unternehmens-Apps verwalten kann. Der Bereich von Benutzer- und/oder Gruppenzuweisungen kann für eine einzelne Anwendung oder für alle Anwendungen erteilt werden. Wenn die Erteilung auf organisationsweiter Ebene erfolgt, kann die zugewiesene Person Zuweisungen für alle Anwendungen verwalten. Wenn die Erteilung auf Anwendungsebene erfolgt, kann die zugewiesene Person nur Zuweisungen für die angegebene Anwendung verwalten.

Das Erteilen der Berechtigung zum Aktualisieren erfolgt in zwei Schritten:

Erstellen einer benutzerdefinierten Rolle mit der Berechtigung microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Erteilen von Berechtigungen für Benutzer oder Gruppen zum Verwalten von Benutzer- und Gruppenzuweisungen für Unternehmens-Apps: Dabei können Sie den Bereich auf die organisationsweite Ebene oder auf eine einzelne Anwendung festlegen.

Erstellen einer neuen benutzerdefinierten Rolle

Im Microsoft Entra Admin Center können Sie benutzerdefinierte Rollen erstellen und verwalten, um den Zugriff und die Berechtigungen für Unternehmens-Apps zu steuern.

Hinweis

Benutzerdefinierte Rollen werden auf Organisationsebene erstellt und verwaltet und sind nur auf der Seite „Übersicht“ der Organisation verfügbar.

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu Entra IDRollen & Administratoren.
Wählen Sie "Neue benutzerdefinierte Rolle" aus.
Geben Sie auf der Registerkarte " Grundlagen " für den Namen der Rolle "Benutzer- und Gruppenzuweisungen verwalten" und "Berechtigungen zum Verwalten von Benutzer- und Gruppenzuweisungen erteilen" für die Rollenbeschreibung ein, und wählen Sie dann "Weiter" aus.
Geben Sie auf der Registerkarte "Berechtigungen " im Suchfeld "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" ein, aktivieren Sie die Kontrollkästchen neben den gewünschten Berechtigungen, und wählen Sie dann "Weiter" aus.
Überprüfen Sie auf der Registerkarte " Überprüfen+ Erstellen " die Berechtigungen, und wählen Sie "Erstellen" aus.

Zuweisen der Rolle zu einem Benutzer oder einer Benutzerin über das Microsoft Entra Admin Center

Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
Navigieren Sie zu Entra IDRollen & Administratoren.
Wählen Sie die Rolle "Benutzer- und Gruppenzuweisungen verwalten " aus.
Wählen Sie "Aufgabe hinzufügen", wählen Sie den gewünschten Benutzer aus, und klicken Sie dann auf "Auswählen ", um dem Benutzer Rollenzuweisung hinzuzufügen.

Zuweisungstipps

Wenn Sie zugewiesenen Personen Berechtigungen zum Verwalten des Benutzer- und Gruppenzugriffs für alle organisationsweiten Unternehmens-Apps erteilen möchten, beginnen Sie in Microsoft Entra ID mit der organisationsweiten Liste Rollen und Administratoren auf der Seite Übersicht für Ihre Organisation.
Wenn Sie zugewiesenen Personen Berechtigungen zum Verwalten des Benutzer- und Gruppenzugriffs für eine bestimmte Unternehmens-App erteilen möchten, navigieren Sie in Microsoft Entra ID zu dieser App, und öffnen Sie die Liste Rollen und Administratoren für diese App. Wählen Sie die neue benutzerdefinierte Rolle aus, und schließen Sie die Benutzer- oder Gruppenzuweisung ab. Die zugewiesenen Personen können den Benutzer- und Gruppenzugriff nur für diese bestimmte App verwalten.
Um Ihre benutzerdefinierte Rollenzuweisung zu testen, melden Sie sich als Zugewiesener an, und öffnen Sie die Seite "Benutzer und Gruppen " einer Anwendung, um zu überprüfen, ob die Option " Benutzer hinzufügen " aktiviert ist.

Weitere Details finden Sie unter Erstellen einer benutzerdefinierten Rolle in Microsoft Entra ID und Zuweisen von Microsoft Entra-Rollen.

Erstellen einer benutzerdefinierten Rolle

Verwenden Sie zum Erstellen einer neuen Rolle das folgende PowerShell-Skript:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Zuweisen der benutzerdefinierten Rolle

Weisen Sie die Rolle mithilfe des folgenden PowerShell-Skripts zu.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Verwenden Sie die Create unifiedRoleDefinition-API , um eine benutzerdefinierte Rolle zu erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle in Microsoft Entra ID und Zuweisen von Microsoft Entra-Rollen.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Zuweisen der benutzerdefinierten Rolle mithilfe der Microsoft Graph-API

Verwenden Sie die Create unifiedRoleAssignment-API , um die benutzerdefinierte Rolle zuzuweisen. Die Rollenzuweisung kombiniert eine Sicherheitsprinzipal-ID (Benutzende oder Dienstprinzipale), eine Rollendefinitions-ID und einen Microsoft Entra-Ressourcenbereich. Weitere Informationen zu den Elementen einer Rollenzuweisung finden Sie in der Übersicht über benutzerdefinierte Rollen

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Nächste Schritte

Erkunden der verfügbaren benutzerdefinierten Rollenberechtigungen für Unternehmens-Apps

Feedback

War diese Seite hilfreich?

Last updated on 2025-07-07