Tworzenie ról niestandardowych do zarządzania aplikacjami dla przedsiębiorstw w usłudze Microsoft Entra ID

W tym artykule wyjaśniono, jak utworzyć rolę niestandardową z uprawnieniami do zarządzania przypisaniami aplikacji dla przedsiębiorstw dla użytkowników i grup w usłudze Microsoft Entra ID. Aby zapoznać się z elementami przypisań ról i znaczeniem terminów, takich jak podtyp, uprawnienie i zestaw właściwości, zobacz omówienie ról niestandardowych.

Wymagania wstępne

Licencja Microsoft Entra ID P1 lub P2
Administrator ról uprzywilejowanych
moduł programu Microsoft Graph PowerShell podczas korzystania z programu PowerShell
Zgoda administratora podczas korzystania z eksploratora programu Graph dla interfejsu Microsoft Graph API

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

Uprawnienia roli aplikacji korporacyjnej

W tym artykule omówiono dwa uprawnienia aplikacji dla przedsiębiorstw. We wszystkich przykładach użyto uprawnienia aktualizacji.

Aby odczytać przypisania użytkowników i grup w ramach zakresu, przyznaj uprawnienie microsoft.directory/servicePrincipals/appRoleAssignedTo/read
Aby zarządzać przypisaniami użytkowników i grup na poziomie, przyznaj uprawnienie microsoft.directory/servicePrincipals/appRoleAssignedTo/update

Udzielenie uprawnień aktualizacji powoduje, że osoba przydzielona jest w stanie zarządzać przypisaniami użytkowników i grup w aplikacjach dla przedsiębiorstw. Zakres przypisań użytkowników i/lub grup można przyznać dla jednej aplikacji lub dla wszystkich aplikacji. W przypadku udzielenia na poziomie całej organizacji osoba przydzielona może zarządzać przypisaniami wszystkich aplikacji. Jeśli dokonano tego na poziomie aplikacji, osoba przypisana może zarządzać przypisaniami tylko dla tej określonej aplikacji.

Udzielanie uprawnień aktualizacji odbywa się w dwóch krokach:

Tworzenie roli niestandardowej z uprawnieniami microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Udziel użytkownikom lub grupom uprawnień do zarządzania przypisaniami użytkowników i grup do aplikacji dla przedsiębiorstw. Jest to możliwe, gdy można ustawić zakres na poziomie całej organizacji lub na jedną aplikację.

Tworzenie nowej roli niestandardowej

W centrum administracyjnym firmy Microsoft możesz tworzyć role niestandardowe i zarządzać nimi w celu kontrolowania dostępu i uprawnień dla aplikacji dla przedsiębiorstw.

Uwaga

Role niestandardowe są tworzone i zarządzane na poziomie całej organizacji i są dostępne tylko na stronie Przegląd organizacji.

Zaloguj się do centrum zarządzania Microsoft Entra co najmniej jako administrator roli uprzywilejowanej.
Przejdź do pozycji Entra ID>Role i administratorzy.
Wybierz Nowa niestandardowa rola.
Na karcie Podstawy podaj nazwę roli "Zarządzanie przypisaniami użytkowników i grup" oraz "Udziel uprawnień do zarządzania przypisaniami użytkowników i grup", a następnie wybierz przycisk Dalej.
Na karcie Uprawnienia wprowadź ciąg "microsoft.directory/servicePrincipals/appRoleAssignedTo/update" w polu wyszukiwania, zaznacz pola wyboru obok odpowiednich uprawnień, a następnie wybierz pozycję Dalej.
Na karcie Przeglądanie + tworzenie przejrzyj uprawnienia i wybierz pozycję Utwórz.

Przypisywanie roli do użytkownika przy użyciu centrum administracyjnego firmy Microsoft Entra

Zaloguj się do centrum zarządzania Microsoft Entra co najmniej jako administrator roli uprzywilejowanej.
Przejdź do pozycji Entra ID>Role i administratorzy.
Wybierz rolę Zarządzaj przypisaniami użytkowników i grup.
Wybierz pozycję Dodaj przypisanie, wybierz żądanego użytkownika, a następnie kliknij pozycję Wybierz , aby dodać przypisanie roli do użytkownika.

Porady dotyczące zadań

Aby udzielić uprawnień osobom przypisanym do zarządzania użytkownikami i dostępem do grup dla wszystkich aplikacji przedsiębiorstwa na poziomie organizacji, zacznij od listy Ról i Administratorów na stronie Przegląd usługi Microsoft Entra ID w twojej organizacji.
Aby udzielić uprawnień dla przypisanych użytkowników do zarządzania użytkownikami i dostępem grup dla określonej aplikacji dla przedsiębiorstw, przejdź do tej aplikacji w Microsoft Entra ID i otwórz listę Role i administratorzy dla tej aplikacji. Wybierz nową rolę niestandardową i ukończ przypisanie użytkownika lub grupy. Przypisani mogą zarządzać użytkownikami i dostępem grup tylko dla określonej aplikacji.
Aby przetestować niestandardowe przypisanie roli, zaloguj się jako osoba przypisana i otwórz stronę Użytkownicy i grupy aplikacji, aby sprawdzić, czy opcja Dodaj użytkownika jest włączona.

Aby uzyskać więcej informacji, zobacz Utwórz niestandardową rolę w Microsoft Entra ID i Przypisz role Microsoft Entra.

Tworzenie roli niestandardowej

Utwórz nową rolę przy użyciu następującego skryptu programu PowerShell:

# Basic role information
$description = "Can manage user and group assignments for Applications"
$displayName = "Manage user and group assignments"
$templateId = (New-Guid).Guid

# Set of permissions to grant
$allowedResourceAction = @("microsoft.directory/servicePrincipals/appRoleAssignedTo/update")
$rolePermission = @{'allowedResourceActions'= $allowedResourceAction}
$rolePermissions = $rolePermission

# Create new custom admin role
$customRole = New-MgRoleManagementDirectoryRoleDefinition -Description $description `
   -DisplayName $displayName -RolePermissions $rolePermissions -TemplateId $templateId -IsEnabled

Przypisz rolę niestandardową

Przypisz rolę przy użyciu tego skryptu programu PowerShell.

# Get the user and role definition you want to link
$user =  Get-MgUser -Filter "userPrincipalName eq 'chandra@example.com'"
$roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "displayName eq 'Manage user and group assignments'"

# Get app registration and construct scope for assignment.
$appRegistration = Get-MgApplication -Filter "displayName eq 'My Filter Photos'"
$directoryScope = '/' + $appRegistration.Id

# Create a scoped role assignment
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId $directoryScope `
   -PrincipalId $user.Id -RoleDefinitionId $roleDefinition.Id

Użyj interfejsu API Create unifiedRoleDefinition , aby utworzyć rolę niestandardową. Aby uzyskać więcej informacji, zobacz Utwórz niestandardową rolę w Microsoft Entra ID i Przypisz role Microsoft Entra.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions

{
    "description": "Can manage user and group assignments for Applications.",
    "displayName": "Manage user and group assignments",
    "isEnabled": true,
    "rolePermissions":
    [
        {
            "allowedResourceActions":
            [
                "microsoft.directory/servicePrincipals/appRoleAssignedTo/update"
            ]
        }
    ],
    "templateId": "<PROVIDE NEW GUID HERE>",
    "version": "1"
}

Przypisywanie roli niestandardowej przy użyciu interfejsu API programu Microsoft Graph

Użyj interfejsu API Create unifiedRoleAssignment , aby przypisać rolę niestandardową. Przypisanie roli łączy identyfikator podmiotu zabezpieczeń (który może być użytkownikiem lub jednostką usługi), identyfikator definicji roli i zakres zasobu Microsoft Entra. Aby uzyskać więcej informacji na temat elementów przypisania roli, zobacz omówienie ról niestandardowych

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "principalId": "<PROVIDE OBJECTID OF USER TO ASSIGN HERE>",
    "roleDefinitionId": "<PROVIDE OBJECTID OF ROLE DEFINITION HERE>",
    "directoryScopeId": "/"
}

Następne kroki

Eksplorowanie dostępnych uprawnień roli niestandardowej dla aplikacji dla przedsiębiorstw

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-03-13